【摘要】根據(jù)國(guó)家在“十一·五規(guī)劃”中明確提出計(jì)算機(jī)網(wǎng)絡(luò)、通信網(wǎng)絡(luò)、廣電網(wǎng)絡(luò)實(shí)現(xiàn)“三網(wǎng)融合”的總體要求，河南有線電視網(wǎng)絡(luò)集團(tuán)對(duì)原有的HFC網(wǎng)絡(luò)進(jìn)行大規(guī)模網(wǎng)絡(luò)改造，逐步開展全新的數(shù)字電視業(yè)務(wù)以及豐富的增值業(yè)務(wù)，向三網(wǎng)融合的下一代有線電視網(wǎng)絡(luò)（NGCN）過(guò)渡。

【關(guān)鍵詞】三網(wǎng)融合；數(shù)字電視業(yè)務(wù)；運(yùn)營(yíng)網(wǎng)絡(luò)；NGCN

河南有線網(wǎng)絡(luò)集團(tuán)正在建設(shè)一個(gè)基于IP的高帶寬、高可靠性、可運(yùn)營(yíng)管理、具備多種業(yè)務(wù)綜合承載能力和擴(kuò)展性的電信級(jí)骨干數(shù)據(jù)網(wǎng)絡(luò)，該網(wǎng)絡(luò)主要用以開展以IP業(yè)務(wù)為主的雙向業(yè)務(wù)，包括互聯(lián)網(wǎng)、VOD、IP電話、專網(wǎng)等業(yè)務(wù)。為了規(guī)避運(yùn)營(yíng)商出口故障所帶來(lái)的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來(lái)的網(wǎng)絡(luò)訪問(wèn)問(wèn)題，許多企業(yè)往往會(huì)租用兩個(gè)或多個(gè)運(yùn)營(yíng)商出口鏈路（如電信、聯(lián)通等）。如何合理運(yùn)用多個(gè)運(yùn)營(yíng)商出口，既不造成資源浪費(fèi)，又能很好的服務(wù)于企業(yè)是現(xiàn)在運(yùn)營(yíng)商所考慮的問(wèn)題。運(yùn)營(yíng)網(wǎng)絡(luò)是社會(huì)信息化的基礎(chǔ)設(shè)施，擁有巨大的用戶規(guī)模，需求嚴(yán)格的可靠性及服務(wù)質(zhì)量保證，業(yè)務(wù)子網(wǎng)之間需要復(fù)雜的訪問(wèn)關(guān)系，這些特點(diǎn)都要在運(yùn)營(yíng)網(wǎng)絡(luò)安全規(guī)劃中充分考慮。

一、防火墻發(fā)展現(xiàn)狀

隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來(lái)越頻繁。通過(guò)各種攻擊軟件，只要具有一般計(jì)算機(jī)常識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。目前，Internet網(wǎng)絡(luò)上常見的安全威脅分為以下幾類：

非法使用：資源被未授權(quán)的用戶（也可以稱為非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。例如，攻擊者通過(guò)猜測(cè)帳號(hào)和密碼的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以非法使用資源。

拒絕服務(wù)：服務(wù)器拒絕合法用戶正常訪問(wèn)信息或資源的請(qǐng)求。例如，攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器不斷發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)。

信息盜竊：攻擊者并不直接入侵目標(biāo)系統(tǒng)，而是通過(guò)竊聽網(wǎng)絡(luò)來(lái)獲取重要數(shù)據(jù)或信息。

數(shù)據(jù)篡改：攻擊者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。

目前網(wǎng)絡(luò)中主要使用防火墻來(lái)保證內(nèi)部網(wǎng)路的安全。防火墻類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet防火墻是一個(gè)或一組實(shí)施訪問(wèn)控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪問(wèn)通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻作用于被保護(hù)區(qū)域的入口處，基于訪問(wèn)控制策略提供安全防護(hù)。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處時(shí)，可以保護(hù)組織內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)（未授權(quán)或未驗(yàn)證的訪問(wèn)）或惡意攻擊；當(dāng)防火墻位于組織內(nèi)部相對(duì)開放的網(wǎng)段或比較敏感的網(wǎng)段（如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分）的連接處時(shí)，可以根據(jù)需要過(guò)濾對(duì)敏感數(shù)據(jù)的訪問(wèn)（即使該訪問(wèn)是來(lái)自組織內(nèi)部）。

防火墻技術(shù)經(jīng)歷了包過(guò)濾防火墻、代理防火墻、狀態(tài)防火墻的技術(shù)演變，但是隨著各種基于不安全應(yīng)用的攻擊增多以及網(wǎng)絡(luò)蠕蟲病毒的泛濫，傳統(tǒng)防火墻面臨更加艱巨的任務(wù)，不但需要防護(hù)傳統(tǒng)的基于網(wǎng)絡(luò)層的協(xié)議攻擊，而且需要處理更加高層的應(yīng)用數(shù)據(jù)，對(duì)應(yīng)用層的攻擊進(jìn)行防護(hù)。對(duì)于互聯(lián)網(wǎng)上的各種蠕蟲病毒，必須能夠判斷出網(wǎng)絡(luò)蠕蟲病毒的特征，把網(wǎng)絡(luò)蠕蟲病毒造成的攻擊阻擋在安全網(wǎng)絡(luò)之外。從而對(duì)內(nèi)部安全網(wǎng)絡(luò)形成立體、全面的防護(hù)。

造成當(dāng)前網(wǎng)絡(luò)“安全危機(jī)”另外一個(gè)因素是忽視對(duì)內(nèi)網(wǎng)安全的監(jiān)控管理。防火墻防范了來(lái)之外網(wǎng)的攻擊，對(duì)于潛伏于內(nèi)部網(wǎng)絡(luò)的“黑手”卻置之不理，很容易造成內(nèi)網(wǎng)變成攻擊的源頭，導(dǎo)致內(nèi)網(wǎng)數(shù)據(jù)泄密，通過(guò)NAT從內(nèi)部網(wǎng)絡(luò)的攻擊行為無(wú)法進(jìn)行審計(jì)。由于對(duì)內(nèi)部網(wǎng)絡(luò)缺乏防范，當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)感染蠕蟲病毒時(shí)，會(huì)形成可以感染整個(gè)互聯(lián)網(wǎng)的污染源頭，導(dǎo)致整個(gè)互聯(lián)網(wǎng)絡(luò)環(huán)境低劣。

對(duì)于網(wǎng)絡(luò)管理者，不但需要關(guān)注來(lái)自外部網(wǎng)絡(luò)的威脅，而且需要防范來(lái)自內(nèi)部網(wǎng)絡(luò)的惡意行為。防火墻需要提供對(duì)內(nèi)部網(wǎng)絡(luò)安全保障的支持，形成全面的安全防護(hù)體系。

二、防火墻安全防護(hù)主要功能應(yīng)用探討

狀態(tài)安全過(guò)濾功能：支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過(guò)濾技術(shù)，支持按照時(shí)間段進(jìn)行過(guò)濾；支持H3C特有ASPF應(yīng)用層報(bào)文過(guò)濾（Application Specific Packet Filter）協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，支持對(duì)FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控。

抗攻擊防范能力功能：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能；靜態(tài)和動(dòng)態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術(shù)。

應(yīng)用層內(nèi)容過(guò)濾功能：可以有效的識(shí)別網(wǎng)絡(luò)中的BT、Edonkey、Emule等各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過(guò)濾，提供SMTP郵件地址、標(biāo)題和內(nèi)容過(guò)濾；支持網(wǎng)頁(yè)過(guò)濾，提供HTTP URL和內(nèi)容過(guò)濾；支持應(yīng)用層過(guò)濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

多種安全認(rèn)證服務(wù)功能：支持RADIUS和HWTACACS協(xié)議及域認(rèn)證；支持基于PKI/CA體系的數(shù)字證書（X.509格式）認(rèn)證功能；在PPP線路上支持CHAP和PAP驗(yàn)證協(xié)議；支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權(quán)限；支持用戶視圖分級(jí)，不同級(jí)別的用戶賦予不同的管理配置權(quán)限。

集中管理與審計(jì)功能：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。

全面NAT應(yīng)用支持功能：提供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

VPN服務(wù)功能：支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和動(dòng)態(tài)VPN等多種VPN業(yè)務(wù)模式。利用動(dòng)態(tài)VPN（DVPN）技術(shù)，簡(jiǎn)化VPN配置，實(shí)現(xiàn)按需動(dòng)態(tài)構(gòu)建VPN網(wǎng)絡(luò)。

智能網(wǎng)絡(luò)集成及QoS保證功能：支持路由、透明及混合運(yùn)行模式，支持靜態(tài)路由協(xié)議，支持RIP v1/2、OSPF、BGP動(dòng)態(tài)路由協(xié)議，支持路由策略及策略路由，支持基于802.1q VLAN，支持PPPoE Client/Server，DHCP Client/Server/Relay，支持流分類、流量監(jiān)管、流量整形及接口限速，支持擁塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ），支持擁塞避免（WRED）

雙機(jī)狀態(tài)熱備功能：支持Active/Active和Active/Passive兩種工作模式，實(shí)現(xiàn)負(fù)載分擔(dān)和業(yè)務(wù)備份

智能圖形化管理功能：通過(guò)Web方式進(jìn)行遠(yuǎn)程配置管理，通過(guò)網(wǎng)管軟件實(shí)現(xiàn)與網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，通過(guò)VPN Manager系統(tǒng)對(duì)VPN進(jìn)行動(dòng)態(tài)和圖形化的業(yè)務(wù)管理和狀態(tài)監(jiān)控。

三、結(jié)束語(yǔ)

對(duì)于廣電行業(yè)來(lái)說(shuō)，三網(wǎng)融合是一次難得的機(jī)遇，更是一次巨大挑戰(zhàn)的機(jī)會(huì)，確保廣電運(yùn)營(yíng)商能夠快速的適應(yīng)市場(chǎng)并作出最佳應(yīng)對(duì)，及時(shí)調(diào)整廣電網(wǎng)絡(luò)資源及系統(tǒng)，用以尋找新的業(yè)務(wù)市場(chǎng)和UP值，在云交互媒體電視，數(shù)據(jù)信息等創(chuàng)新增值業(yè)務(wù)上先行一步，從而在現(xiàn)階段多變的三網(wǎng)融合市場(chǎng)競(jìng)爭(zhēng)中贏得先機(jī)。隨著互聯(lián)網(wǎng)的發(fā)展，運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境已經(jīng)呈現(xiàn)出越來(lái)越高的復(fù)雜性，這給網(wǎng)絡(luò)運(yùn)營(yíng)商提出了更高的要求。挑戰(zhàn)的出現(xiàn)同時(shí)也意味著機(jī)遇的產(chǎn)生，如何應(yīng)對(duì)如今復(fù)雜多變的網(wǎng)絡(luò)，如何在充分利用現(xiàn)有網(wǎng)絡(luò)資源的同時(shí)重組產(chǎn)業(yè)鏈尋求新的利潤(rùn)增長(zhǎng)點(diǎn)成為當(dāng)今運(yùn)營(yíng)商急需解決的問(wèn)題。

參考文獻(xiàn)

[1]陳波，于泠.防火墻技術(shù)與應(yīng)用[M].機(jī)械工業(yè)出版社，2013.

[2]閻慧.防火墻原理與技術(shù)[M].機(jī)械工業(yè)出版社，2004.

作者簡(jiǎn)介：楊陽(yáng)（1983—），男，河南鄭州人，河南有線電視網(wǎng)絡(luò)集團(tuán)有限公司鄭州分公司網(wǎng)絡(luò)工程師。