郭斌

目前網(wǎng)絡(luò)安全問題日益突出，其原因在于電信運營寬帶城域網(wǎng)發(fā)展迅速。一些較為常見的安全問題已經(jīng)能在BAS/SR設(shè)備上解決，常用手段有傳統(tǒng)IP地址欺騙、ARP欺騙等。而尚未解決的安全問題，已經(jīng)嚴重干擾寬帶城域網(wǎng)的運行和業(yè)務(wù)發(fā)展，比如DDOS攻擊、垃圾郵件、低俗網(wǎng)絡(luò)等，并影響社會的良好運行，因此寬帶城域網(wǎng)的安全建設(shè)已經(jīng)迫在眉睫。

【關(guān)鍵詞】寬帶 城域 安全 建設(shè)

1 寬帶城域網(wǎng)安全模型

信任域、非信任域以及隔離域共同組成寬帶城域網(wǎng)安全模型。信任域作為基礎(chǔ)網(wǎng)絡(luò)，隸屬于運營商，和電信業(yè)務(wù)網(wǎng)相互分離，防火墻是常被運用的設(shè)備，信任域有多種類型，如支撐系統(tǒng)、網(wǎng)管系統(tǒng)、智能業(yè)務(wù)平臺等。非信任域是基礎(chǔ)網(wǎng)絡(luò)，也隸屬于運營商，為客戶服務(wù)，主要應(yīng)用于接入和業(yè)務(wù)，且是Internet網(wǎng)絡(luò)的組成部分，主要設(shè)備有基礎(chǔ)用戶接入、數(shù)據(jù)交換以及媒體網(wǎng)關(guān)，該網(wǎng)絡(luò)有時會脫離互聯(lián)網(wǎng)的控制。隔離域作為平臺目的在于實現(xiàn)信任域和非信任域的數(shù)據(jù)交互，該業(yè)務(wù)平臺種類較多，有web服務(wù)平臺、ftp服務(wù)器、dns服務(wù)器等等。信息傳輸?shù)幕A(chǔ)是非信任域，作為基礎(chǔ)網(wǎng)絡(luò)，是城域網(wǎng)中的主要組成部分，起到很大的作用，因此，在安全模型的建立過程中，應(yīng)當對非信任域予以重點考慮。

2 寬帶城域網(wǎng)安全分析

2.1 信任區(qū)域的安全

信任域的安全性較為關(guān)鍵，是寬帶城域網(wǎng)運用的重點，因此為保障其安全，應(yīng)當采取相應(yīng)的措施。一般情況下，信任域會受到多種攻擊，如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵以及病毒等。為保證信任域的安全，可以采用如下方式。第一，對防火墻予以部署，保證安全訪問策略的嚴格性，對此區(qū)域的訪問進行嚴格限制。第二，在系統(tǒng)軟件和應(yīng)用軟件的挑選上予以嚴格限制，且予以配置，對操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞和補丁情況予以關(guān)注，同時對進展情況予以監(jiān)測。同時對系統(tǒng)和應(yīng)用的服務(wù)對象范圍予以界定。第三，對網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)予以關(guān)注，且進行部署，重點的監(jiān)控對象是核心服務(wù)，若發(fā)生網(wǎng)絡(luò)攻擊和病毒，可以及時警報。第四，堅持完善網(wǎng)管系統(tǒng)，同時完善日志系統(tǒng)。第五，在處理主機系統(tǒng)問題上，應(yīng)當運用雙機熱備份方式，同時應(yīng)用系統(tǒng)和數(shù)據(jù)的備份工作也應(yīng)當做好，且還應(yīng)根據(jù)具體情況，進行需要設(shè)定，對系統(tǒng)工作予以恢復(fù)。

2.2 隔離域的安全

隔離域的作用在于能夠連接寬帶城域網(wǎng)和對外業(yè)務(wù)服務(wù)，業(yè)務(wù)應(yīng)當具有足夠的對外開展空間，才能使安全的威脅降到最低，此時該域也是最容易受到破壞的部分。為實現(xiàn)安全性保障，可以采取以下措施。第一，對防火墻予以部署，保證安全訪問策略，其中分布式拒絕服務(wù)攻擊應(yīng)當予以重視。第三，對服務(wù)器的安全漏洞予以修補，拒絕接入不必要的網(wǎng)絡(luò)服務(wù)。第三，同時做好系統(tǒng)和日志的備份工作。

2.3 非信任域的安全

作為傳輸網(wǎng)絡(luò)，非信任域和用戶的接入和業(yè)務(wù)直接相關(guān)。但是非信任域容易受到攻擊和不同病毒，其安全性存在重大威脅。主要可以從以下三個方面進行闡述，第一，網(wǎng)絡(luò)設(shè)備的系統(tǒng)資源將會增大網(wǎng)絡(luò)攻擊和病毒攻擊，造成CPU處理能力降低，形成網(wǎng)絡(luò)故障，導致用戶的報文丟失。第二，攻擊和病毒會導致資源消耗，如若采用TCP連接數(shù)資源，會對網(wǎng)絡(luò)服務(wù)器產(chǎn)生重大影響，且大大影響NAT設(shè)備。第三，對設(shè)備訪問控制過程中，黑客的攻擊性應(yīng)當受到重視。目前為止，針對信任域和隔離域，已經(jīng)逐漸采取了安全措施，同時寬帶城域網(wǎng)對非信任域的安全問題應(yīng)當予以重視，尤其在城域承載網(wǎng)的安全建設(shè)問題上。

3 寬帶城域網(wǎng)安全建設(shè)及常見故障處理方案

3.1 防DDOS攻擊網(wǎng)絡(luò)部署方案

根據(jù)筆者的相關(guān)經(jīng)驗，認為防DDOS攻擊網(wǎng)絡(luò)部署方案，可以從以下四個方面著手。第一，建立專門的清洗中心，將核心路由器予以盤掛和直掛，通過靜態(tài)的方式對指定流量予以防護，同時清洗設(shè)備還能夠?qū)Ξ惓Ａ髁窟M行清晰，將該用戶端納入保護范圍。在本方案中，有不少優(yōu)點，主要有部署簡單、成本不高等優(yōu)點，且對用戶進行特定保護的過程中，需要做好深度、實時檢測和清洗工作，此時不會造成延遲防護，會產(chǎn)生比較好的效果，但也有不好之處，比如，靜態(tài)防護需要一定容量的清洗設(shè)備，且隨著流量的擴大，容量也增大，所以如果選擇直接部署方式，清洗設(shè)備的量將會成為清洗限制，因此這種方式一般較為適合小型網(wǎng)絡(luò)，對清洗流量要求不高。第二，同樣建立新的清洗中心，對進行城域網(wǎng)流量進行探討和分析，利用Netflow工具， 同時將該清洗中心在核心路由器上進行盤掛。對攻擊流量進行檢測，通過設(shè)備的自動下發(fā)引流策略，一直到達核心路由器設(shè)備，且將異常流量進行清洗，在清洗完成之后，還可以將流量進行回注。本方式的優(yōu)點同第一種方式一樣，在成本上都消耗比較少。主要應(yīng)用的區(qū)域是大型城域網(wǎng)以及IDC網(wǎng)絡(luò)，同時應(yīng)當做好部署Netflow工作，其性價比都比較高。但也有缺點存在，因為Netflow技術(shù)并非十分成熟，技術(shù)上仍有瓶頸存在，因此在檢測攻擊時，會造成比較大的時間延誤，同時對采集有一定的要求，針對應(yīng)用層進行攻擊識別，打那時其缺點在于不能識別小流量攻擊。此外，還可以通過DPI 深度報文全流量檢測對進入城域網(wǎng)流量分析以及針對寬帶組建專門建立VPN。

3.2 防止垃圾郵件安全方案

在寬帶城域網(wǎng)中，垃圾郵件的數(shù)量很多，要對該問題進行根治，需要做好幾方面的工作，比如對個人素質(zhì)和意識進行提升是非常重要的方面。就目前來看，垃圾郵件對人們的生活造成了非常大的影響。主要表現(xiàn)在兩個方面，一是大量的垃圾郵件接收，使得用戶不能正常使用郵件，第二，網(wǎng)內(nèi)用戶在向外發(fā)送垃圾郵件的過程中，一些無辜的用戶會被國際反垃圾郵件組織列入黑名單。筆者認為要解決以上兩個問題，可以從以下兩個方面入手，第一，通過選擇比較穩(wěn)定的企業(yè)郵局系統(tǒng)，一個好的郵件胸膛呢，對整個垃圾郵件而言具有較好的控制能力，同時功能還較為齊全。此時，通過對反垃圾郵件引擎的設(shè)置，以及設(shè)置相應(yīng)的規(guī)則，對該問題予以規(guī)制，從而在最大程度上對垃圾郵件予以控制。第二，在目前的城域網(wǎng)中加入一些反垃圾郵件的功能，主要的設(shè)備部位在后端系統(tǒng)功能模塊中，分析對象是用戶數(shù)據(jù)，同時如果發(fā)現(xiàn)大批量的相同郵件發(fā)送的情況，可以將該郵件的轉(zhuǎn)發(fā)進行限制。endprint