李俊杰+馮南梓

【摘要】 隨著互聯(lián)網(wǎng)業(yè)務(wù)在電信網(wǎng)絡(luò)的廣泛應(yīng)用和寬帶互聯(lián)網(wǎng)用戶的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益成為影響運(yùn)營(yíng)商網(wǎng)絡(luò)正常運(yùn)行和用戶使用網(wǎng)絡(luò)的重要因數(shù)。文章從IP城域網(wǎng)網(wǎng)絡(luò)現(xiàn)狀入手，分析IP城域網(wǎng)安全需求，并提出網(wǎng)絡(luò)安全解決方案，確保整個(gè)IP城域網(wǎng)結(jié)構(gòu)合理，易于管理維護(hù)。

【關(guān)鍵詞】IP城域網(wǎng) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全防護(hù)

一、引言

由于技術(shù)和專業(yè)的限制，IP城域網(wǎng)建設(shè)初期網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，設(shè)備性能有限的，可提供用戶使用的業(yè)務(wù)類型較少。運(yùn)營(yíng)商長(zhǎng)期處于鋪網(wǎng)、圈地的狀態(tài)，較少關(guān)注網(wǎng)絡(luò)安全性。

隨著寬帶提速、光網(wǎng)城市的推進(jìn)，用戶規(guī)模越來(lái)越大，原有網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備性能的一些弊端逐漸顯現(xiàn)出來(lái)，IP城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題正逐步成為影響網(wǎng)絡(luò)正常運(yùn)行、業(yè)務(wù)順利發(fā)展的重要因素。本文主要對(duì)IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)需求進(jìn)行分析，并對(duì)網(wǎng)絡(luò)安全解決方案進(jìn)行論述。

二、IP城域網(wǎng)網(wǎng)絡(luò)安全整體情況

IP城域網(wǎng)網(wǎng)絡(luò)分層結(jié)構(gòu)現(xiàn)狀

IP城域網(wǎng)是在城域范圍內(nèi)組建的，用于實(shí)現(xiàn)個(gè)人和企業(yè)用戶的語(yǔ)音、視頻、數(shù)據(jù)等多種業(yè)務(wù)接入、匯聚和轉(zhuǎn)發(fā)，可獨(dú)立進(jìn)行管理的IP網(wǎng)絡(luò)平臺(tái)。包括城域骨干網(wǎng)、業(yè)務(wù)控制層和寬帶接入網(wǎng)兩部分。

城域骨干網(wǎng)：由城域核心路由器負(fù)責(zé)對(duì)業(yè)務(wù)控制層設(shè)備進(jìn)行端口和流量匯聚，并作IP城域網(wǎng)到IP骨干網(wǎng)的流量轉(zhuǎn)發(fā)出口。

業(yè)務(wù)控制層由寬帶接入服務(wù)器（BRAS）與業(yè)務(wù)路由器（SR）兩種業(yè)務(wù)接入控制點(diǎn)組成，主要負(fù)責(zé)業(yè)務(wù)接入與控制。

寬帶接入網(wǎng)：是業(yè)務(wù)控制層以下，用戶家庭網(wǎng)關(guān)以上（不含CPE）的二層接入網(wǎng)絡(luò)。

三、IP城域網(wǎng)網(wǎng)絡(luò)安全需求分析

目前IP城域網(wǎng)主要以Intemet業(yè)務(wù)為主，需重點(diǎn)考慮以下方面：

（1）對(duì)外需加強(qiáng)黑客防御，對(duì)內(nèi)提升安全控制;

（2）業(yè)務(wù)層、網(wǎng)絡(luò)層和用戶層安全并重;

（3）合理規(guī)劃網(wǎng)絡(luò)流量，保障網(wǎng)絡(luò)的可達(dá)性和可靠性;

（4）加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證、訪問(wèn)授權(quán);

（5）網(wǎng)絡(luò)按需隔離。

四、IP城域網(wǎng)網(wǎng)絡(luò)安全研究

IP城域網(wǎng)是城域業(yè)務(wù)接入和流量轉(zhuǎn)發(fā)的綜合數(shù)據(jù)網(wǎng)絡(luò)，不同的網(wǎng)絡(luò)結(jié)構(gòu)和層次所面對(duì)的網(wǎng)絡(luò)安全問(wèn)題將有所區(qū)別，為控制網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，需要有針對(duì)性的采取不同的安全策略。

4.1 IP城域網(wǎng)核心層安全

由于核心層網(wǎng)絡(luò)承擔(dān)整個(gè)城域網(wǎng)出口流量匯聚和轉(zhuǎn)發(fā)，為保證其網(wǎng)絡(luò)安全性和可靠性，建議采用以下安全策略，包括：

采用路由和交換設(shè)備應(yīng)保證全線速、無(wú)阻塞;

盡量采用加密方式實(shí)現(xiàn)設(shè)備或系統(tǒng)登錄，并強(qiáng)化登錄口令管理;

采用節(jié)點(diǎn)、機(jī)框、板卡和端口級(jí)冗余備份;

采用資源預(yù)留，分布式轉(zhuǎn)發(fā)等技術(shù)提高設(shè)備系統(tǒng)安全性;

對(duì)異常網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)和解決問(wèn)題。

4.2 IP城域網(wǎng)匯聚層安全

匯聚層業(yè)務(wù)控制點(diǎn)的安全性能主要體現(xiàn)在以下幾個(gè)方面：

根據(jù)用戶簽約帶寬配置線路速率，并通過(guò)限速和QoS等技術(shù)控制用戶合法帶寬;

對(duì)傳輸層和會(huì)話層的會(huì)話數(shù)和連接數(shù)進(jìn)行總量限制，避免DoS/DDoS攻擊;

通過(guò)加強(qiáng)密碼、密鑰等方式提高網(wǎng)絡(luò)安全控制管理水平;

創(chuàng)建訪問(wèn)控制列表（ACI），根據(jù)安全需求有選擇控制非法用戶訪問(wèn)網(wǎng)絡(luò)安全服務(wù);

通過(guò)syslog溯源系統(tǒng)強(qiáng)化安全日志管理。

4.3 IP城域網(wǎng)接入層安全

通過(guò)各種接入技術(shù)和傳輸資源實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋，為用戶提供多種業(yè)務(wù)接入和流量控制。

通過(guò)用戶網(wǎng)絡(luò)隔離、用戶屬性（IP、MAC和設(shè)備端口等）精確綁定等手段防止用戶非法接入和惡意攻擊，提高網(wǎng)絡(luò)接入安全性;

在LAN接入，需要通過(guò)端口環(huán)路檢測(cè)避免二層環(huán)路的發(fā)生，避免廣播風(fēng)暴對(duì)網(wǎng)絡(luò)的影響。

五、結(jié)語(yǔ)

目前，電信運(yùn)營(yíng)商IP城域網(wǎng)在網(wǎng)絡(luò)安全管理上還存在不足，網(wǎng)絡(luò)安全防御手段相對(duì)匱乏。對(duì)網(wǎng)絡(luò)安全的控制還集中在ACL、黑洞路由等傳統(tǒng)手段，未規(guī)模推進(jìn)防火墻/IPS等專用第三方網(wǎng)絡(luò)安全設(shè)備與傳統(tǒng)的路由器/交換機(jī)進(jìn)行聯(lián)動(dòng)控制。且由于現(xiàn)有的檢測(cè)和控制方式相對(duì)分散，部分系統(tǒng)或設(shè)備必須由運(yùn)維人員手工配置，難以在網(wǎng)絡(luò)安全受到威脅下，保證各系統(tǒng)和設(shè)備相互協(xié)調(diào)，迅速作出響應(yīng)，以形成一個(gè)完整和有效的安全網(wǎng)絡(luò)。

但隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展及人們對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的不斷深入，未來(lái)的IP城域網(wǎng)將會(huì)建立更加完善的網(wǎng)絡(luò)安全解決方案，對(duì)網(wǎng)絡(luò)安全進(jìn)行快速識(shí)別和分析，并可及時(shí)對(duì)異常流量和網(wǎng)絡(luò)攻擊進(jìn)行過(guò)濾和控制，以保障IP城域網(wǎng)更加穩(wěn)定、可靠運(yùn)行。

參考文獻(xiàn)[1]文光斌.主動(dòng)防御網(wǎng)絡(luò)安全研究[J].計(jì)算機(jī)安全，2006（8）[2]李學(xué)軍，李講，朱英軍.寬帶IP城城網(wǎng)的優(yōu)化策略與實(shí)踐[M].人民郵電出版社，2002