萬星

中國電信股份有限公司眉山分公司

【摘 要】進(jìn)入新世紀(jì)以來，市場變遷，我國的IP城域網(wǎng)的發(fā)展進(jìn)入了一個新的階段。以前人們對IP城域網(wǎng)的需求主要為寬帶，到如今逐漸向質(zhì)量與可靠，有廣泛業(yè)務(wù)的不間斷網(wǎng)絡(luò)通信轉(zhuǎn)變。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)質(zhì)量的基礎(chǔ)之一，已愈發(fā)受到運(yùn)營商的重視。在銀行、政府、支付等特殊的企事業(yè)單位中，對IP城域網(wǎng)的網(wǎng)絡(luò)安全提出了更高的要求，間接的推動了IP城域網(wǎng)網(wǎng)絡(luò)安全的發(fā)展建設(shè)。本文從IP城域網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀出發(fā)，分析了幾個常見的網(wǎng)絡(luò)攻擊方法并簡單的介紹了目前應(yīng)對網(wǎng)絡(luò)攻擊的安全防護(hù)措施。

【關(guān)鍵詞】IP城域網(wǎng)；網(wǎng)絡(luò)安全；防護(hù)措施

從目前的分析來看，制約IP城域網(wǎng)發(fā)展的重要因素之一就是網(wǎng)絡(luò)安全。最近幾年，網(wǎng)絡(luò)安全事件發(fā)生的頻率在逐年升高，造成的損失也不斷升高，因此面對如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢，必須對網(wǎng)絡(luò)安全大力度的加以整治。

1 .IP城域網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀

1.1IP城域網(wǎng)的概況

一般而言，城域網(wǎng)主要由三個層次構(gòu)成，分別為核心層、匯聚層以及接入層。

這三個層次在IP城域網(wǎng)中各自承擔(dān)著不同的功能，他們是IP城域網(wǎng)中不可缺少的一部分。IP城域網(wǎng)的核心層面臨著路由安全與核心層的設(shè)備自身安全等主要安全問題；匯聚層又稱為控制層，它主要面臨的網(wǎng)絡(luò)安全問題是路由安全、異常流量的抑制以及用戶的業(yè)務(wù)安全和對用戶訪問的控制；構(gòu)成接入層的主要是一些二層的接入設(shè)備，接入層面臨的網(wǎng)絡(luò)安全問題是用戶的攻擊行為與對廣播風(fēng)暴的抑制。

1.2IP城域網(wǎng)主要存在的風(fēng)險

隨著目前網(wǎng)絡(luò)的不斷普及，城域網(wǎng)的用戶快速增加，網(wǎng)絡(luò)安全問題就凸顯出來，這些問題主要體現(xiàn)在五個方面：（1）用戶端引起的流量攻擊問題，（2） 用戶管理接入問題，（3）大量垃圾郵件擠占網(wǎng)絡(luò)帶寬，（4） 大量出現(xiàn)以占用帶寬為目的的應(yīng)用，（5） 網(wǎng)絡(luò)安全的管理問題。

1.3IP城域網(wǎng)的安全現(xiàn)狀分析

目前IP城域網(wǎng)的安全主要面對著以下的幾個方面的問題：（1）關(guān)鍵設(shè)備（如核心設(shè)備）以及關(guān)鍵鏈路（出口城域網(wǎng)鏈路及BRAS/MSE上行鏈路）是否冗余（3）對核心層、匯聚層以及接入層的管理混亂，導(dǎo)致用戶隨意接入，（4）網(wǎng)絡(luò)設(shè)備在某些功能上存在缺陷。（1）網(wǎng)絡(luò)終端的防護(hù)能力薄弱，（2）對網(wǎng)絡(luò)缺乏相應(yīng)的安全監(jiān)控，除認(rèn)證計費(fèi)外，多數(shù)網(wǎng)絡(luò)處于開放狀態(tài)，

2.常見的網(wǎng)絡(luò)攻擊手段

常見的網(wǎng)絡(luò)攻擊手段主要有地址欺騙、端口掃描以及應(yīng)用層攻擊，這些網(wǎng)絡(luò)攻擊對IP城域網(wǎng)的網(wǎng)絡(luò)安全造成了很大的威脅。

2.1地址欺騙

IP地址欺騙又被稱為身份欺騙，網(wǎng)絡(luò)攻擊者把真實(shí)的IP地址進(jìn)行切狀，并發(fā)送特定的信息，擾亂正常的信息傳輸。IP地址欺騙也可以利用一些信息更改網(wǎng)絡(luò)的路由信息，從而達(dá)到竊取信息的目的。

2.2端口掃描

端口掃描是網(wǎng)絡(luò)攻擊者攻擊網(wǎng)絡(luò)的主要方法之一。這個方法就是攻擊者們利用公共公開的網(wǎng)絡(luò)安全工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行較大規(guī)模的端口掃描，進(jìn)而獲取相應(yīng)的信息。攻擊者們用這種方法攻擊IP網(wǎng)絡(luò)，會占用大量的系統(tǒng)資源，會對正在正常使用的設(shè)備造成較大的危害。

2.3應(yīng)用層攻擊

網(wǎng)絡(luò)攻擊者們使用應(yīng)用層攻擊的直接對象就是網(wǎng)絡(luò)系統(tǒng)的服務(wù)器，應(yīng)用層攻擊的條件相對較高，因此應(yīng)用層攻擊者多為這個系統(tǒng)程序的初始設(shè)計者。他們可以再服務(wù)器的操作系統(tǒng)中制造一個后門，繞過正常程序達(dá)到目的，而特洛伊木馬就是一個典型。

3.應(yīng)對網(wǎng)絡(luò)攻擊的安全防護(hù)

3.1搭建IP城域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)

IP城域網(wǎng)主要的安全隱患來自各個層次。針對核心層，我們需要做到以下幾個方面（1）選擇高可靠高性能核心路由器（2）做好冗余措施，避免單點(diǎn)故障，（3）選擇合適的路由協(xié)議，提高網(wǎng)絡(luò)可靠性及效率（4）充分利用訪問控制列表（ACL）等措施做好流量過濾機(jī)流量攻擊防范。

針對業(yè)務(wù)控制層，（1）BRAS/MSE上行到核心路由器鏈路必須冗余，同時起到鏈路安全及流量負(fù)載分擔(dān)功能（2）強(qiáng)化訪問控制列表（ACL），同時進(jìn)行一些設(shè)置，以過濾或阻止某些攻擊企圖，通過關(guān)閉不必要的服務(wù)降低風(fēng)險。

針對接入網(wǎng)，（1）防止環(huán)路，盡量減少二層VLAN透傳（2）采用QINQ方式，有效隔離用戶，防止ARP攻擊等。

另外，需在全網(wǎng)做好黑洞路由等安全防護(hù)策略；同時對各級設(shè)備都應(yīng)注重強(qiáng)權(quán)限管理，加強(qiáng)用戶名、密碼、權(quán)限等訪問控制手段。而且對所有網(wǎng)絡(luò)設(shè)備配置及各類數(shù)據(jù)都必須進(jìn)行及時有效的備份。

3.2應(yīng)對網(wǎng)絡(luò)攻擊的主要技術(shù)策略

3.2.1設(shè)備防護(hù)。

設(shè)備是一切的基礎(chǔ)，對設(shè)備的安全進(jìn)行防護(hù)是構(gòu)建IP城域網(wǎng)網(wǎng)絡(luò)安全的主要措施之一。對設(shè)備我們需要實(shí)行最小化的服務(wù)原則，在使用設(shè)備時，關(guān)閉設(shè)備上一些并不需要的功能服務(wù)。在認(rèn)證方面使用單點(diǎn)登錄集中認(rèn)證的方法控制維護(hù)人員的遠(yuǎn)程訪問，同時遠(yuǎn)程訪問需使用SSH方式，簡介后還需要有相關(guān)的信息提示。

3.2.2接入層防護(hù)。

接入層相當(dāng)于網(wǎng)絡(luò)終端與IP城域網(wǎng)的一堵墻，要想對網(wǎng)絡(luò)終端進(jìn)行隔離就必須把接入層這堵墻建好。對接入層的建設(shè)主要是加強(qiáng)對L2網(wǎng)安全防護(hù)，特別加強(qiáng)對H用戶接入以及網(wǎng)吧接入的管理工作。尤其對網(wǎng)吧的管理，現(xiàn)網(wǎng)已經(jīng)出現(xiàn)不止一次因?yàn)榫W(wǎng)吧遭受攻擊而影響其接入的那臺匯聚交換機(jī)甚至是BRAS癱瘓的情況。這就要求全網(wǎng)部署好防流量攻擊策略等。

3.2.3計費(fèi)認(rèn)證系統(tǒng)防護(hù)。

相對其他缺乏安全監(jiān)控的網(wǎng)絡(luò)來說，認(rèn)證計費(fèi)系統(tǒng)的安全防護(hù)工作還是做得很好。計費(fèi)認(rèn)證系統(tǒng)防護(hù)方面我們需要對各個地市的計費(fèi)認(rèn)證系統(tǒng)進(jìn)行集中的管理，對網(wǎng)絡(luò)的訪問實(shí)現(xiàn)對不同業(yè)務(wù)主機(jī)的安全防護(hù)，定期的對認(rèn)證計費(fèi)系統(tǒng)進(jìn)行安全的掃描，對認(rèn)證賬號、IP進(jìn)行保密。

4 .結(jié)論

在新世紀(jì)下整體的IP網(wǎng)絡(luò)需要發(fā)展，但是IP城域網(wǎng)的網(wǎng)絡(luò)安全一定程度上制約著整個IP網(wǎng)絡(luò)的發(fā)展，因此解決IP城域網(wǎng)的網(wǎng)絡(luò)安全問題勢在必得。為了提高IP城域網(wǎng)的網(wǎng)絡(luò)安全水平，必須根據(jù)實(shí)際情況，制定相應(yīng)的網(wǎng)絡(luò)安全應(yīng)急機(jī)制，對整個城域網(wǎng)制定相應(yīng)的應(yīng)急預(yù)案，提高IP城域網(wǎng)整體對網(wǎng)絡(luò)安全的應(yīng)對能力，做到防患于未然。

參考文獻(xiàn)：

[1]辛榮寰.中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2003年年會論文集[C]. 2003.

[2]城域網(wǎng)網(wǎng)絡(luò)架構(gòu)優(yōu)化研究[J]. 馮南梓. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2017（03）：98-99.

[3]基于IP城域網(wǎng)的優(yōu)化策略及發(fā)展應(yīng)用[J]. 孔瑩. 中國新通信. 2015（04） ：101-102.