萬(wàn) 星 / 中國(guó)電信股份有限公司眉山分公司

淺談IP城域網(wǎng)網(wǎng)絡(luò)安全

萬(wàn) 星 / 中國(guó)電信股份有限公司眉山分公司

進(jìn)入新世紀(jì)以來(lái)，市場(chǎng)變遷，我國(guó)的IP城域網(wǎng)的發(fā)展進(jìn)入了一個(gè)新的階段。以前人們對(duì)IP城域網(wǎng)的需求主要為寬帶，到如今逐漸向質(zhì)量與可靠，有廣泛業(yè)務(wù)的不間斷網(wǎng)絡(luò)通信轉(zhuǎn)變。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)質(zhì)量的基礎(chǔ)之一，已愈發(fā)受到運(yùn)營(yíng)商的重視。在銀行、政府、支付等特殊的企事業(yè)單位中，對(duì)IP城域網(wǎng)的網(wǎng)絡(luò)安全提出了更高的要求，間接的推動(dòng)了IP城域網(wǎng)網(wǎng)絡(luò)安全的發(fā)展建設(shè)。本文從IP城域網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀出發(fā)，分析了幾個(gè)常見(jiàn)的網(wǎng)絡(luò)攻擊方法并簡(jiǎn)單的介紹了目前應(yīng)對(duì)網(wǎng)絡(luò)攻擊的安全防護(hù)措施。

IP城域網(wǎng)；網(wǎng)絡(luò)安全；防護(hù)措施

從目前的分析來(lái)看，制約IP城域網(wǎng)發(fā)展的重要因素之一就是網(wǎng)絡(luò)安全。最近幾年，網(wǎng)絡(luò)安全事件發(fā)生的頻率在逐年升高，造成的損失也不斷升高，因此面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，必須對(duì)網(wǎng)絡(luò)安全大力度的加以整治。

1.IP城域網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀

1.1 IP城域網(wǎng)的概況

一般而言，城域網(wǎng)主要由三個(gè)層次構(gòu)成，分別為核心層、匯聚層以及接入層。

圖1 IP網(wǎng)絡(luò)結(jié)構(gòu)圖

這三個(gè)層次在IP城域網(wǎng)中各自承擔(dān)著不同的功能，他們是IP城域網(wǎng)中不可缺少的一部分。IP城域網(wǎng)的核心層面臨著路由安全與核心層的設(shè)備自身安全等主要安全問(wèn)題；匯聚層又稱為控制層，它主要面臨的網(wǎng)絡(luò)安全問(wèn)題是路由安全、異常流量的抑制以及用戶的業(yè)務(wù)安全和對(duì)用戶訪問(wèn)的控制；構(gòu)成接入層的主要是一些二層的接入設(shè)備，接入層面臨的網(wǎng)絡(luò)安全問(wèn)題是用戶的攻擊行為與對(duì)廣播風(fēng)暴的抑制。

1.2 IP城域網(wǎng)主要存在的風(fēng)險(xiǎn)

隨著目前網(wǎng)絡(luò)的不斷普及，城域網(wǎng)的用戶快速增加，網(wǎng)絡(luò)安全問(wèn)題就凸顯出來(lái)，這些問(wèn)題主要體現(xiàn)在五個(gè)方面：(1)用戶端引起的流量攻擊問(wèn)題，(2) 用戶管理接入問(wèn)題，(3)大量垃圾郵件擠占網(wǎng)絡(luò)帶寬，(4)大量出現(xiàn)以占用帶寬為目的的應(yīng)用，(5) 網(wǎng)絡(luò)安全的管理問(wèn)題。

1.3 IP城域網(wǎng)的安全現(xiàn)狀分析

目前IP城域網(wǎng)的安全主要面對(duì)著以下的幾個(gè)方面的問(wèn)題：(1)關(guān)鍵設(shè)備（如核心設(shè)備）以及關(guān)鍵鏈路（出口城域網(wǎng)鏈路及BRAS/MSE上行鏈路）是否冗余（3）對(duì)核心層、匯聚層以及接入層的管理混亂，導(dǎo)致用戶隨意接入，（4）網(wǎng)絡(luò)設(shè)備在某些功能上存在缺陷。（1）網(wǎng)絡(luò)終端的防護(hù)能力薄弱，（2）對(duì)網(wǎng)絡(luò)缺乏相應(yīng)的安全監(jiān)控，除認(rèn)證計(jì)費(fèi)外，多數(shù)網(wǎng)絡(luò)處于開(kāi)放狀態(tài)，

2.常見(jiàn)的網(wǎng)絡(luò)攻擊手段

常見(jiàn)的網(wǎng)絡(luò)攻擊手段主要有地址欺騙、端口掃描以及應(yīng)用層攻擊，這些網(wǎng)絡(luò)攻擊對(duì)IP城域網(wǎng)的網(wǎng)絡(luò)安全造成了很大的威脅。

2.1 地址欺騙

IP地址欺騙又被稱為身份欺騙，網(wǎng)絡(luò)攻擊者把真實(shí)的IP地址進(jìn)行切狀，并發(fā)送特定的信息，擾亂正常的信息傳輸。IP地址欺騙也可以利用一些信息更改網(wǎng)絡(luò)的路由信息，從而達(dá)到竊取信息的目的。

2.2 端口掃描

端口掃描是網(wǎng)絡(luò)攻擊者攻擊網(wǎng)絡(luò)的主要方法之一。這個(gè)方法就是攻擊者們利用公共公開(kāi)的網(wǎng)絡(luò)安全工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行較大規(guī)模的端口掃描，進(jìn)而獲取相應(yīng)的信息。攻擊者們用這種方法攻擊IP網(wǎng)絡(luò)，會(huì)占用大量的系統(tǒng)資源，會(huì)對(duì)正在正常使用的設(shè)備造成較大的危害。

2.3 應(yīng)用層攻擊

網(wǎng)絡(luò)攻擊者們使用應(yīng)用層攻擊的直接對(duì)象就是網(wǎng)絡(luò)系統(tǒng)的服務(wù)器，應(yīng)用層攻擊的條件相對(duì)較高，因此應(yīng)用層攻擊者多為這個(gè)系統(tǒng)程序的初始設(shè)計(jì)者。他們可以再服務(wù)器的操作系統(tǒng)中制造一個(gè)后門(mén)，繞過(guò)正常程序達(dá)到目的，而特洛伊木馬就是一個(gè)典型。

3.應(yīng)對(duì)網(wǎng)絡(luò)攻擊的安全防護(hù)

3.1 搭建IP城域網(wǎng)網(wǎng)絡(luò)安全架構(gòu)

IP城域網(wǎng)主要的安全隱患來(lái)自各個(gè)層次。針對(duì)核心層，我們需要做到以下幾個(gè)方面（1）選擇高可靠高性能核心路由器（2）做好冗余措施，避免單點(diǎn)故障，（3）選擇合適的路由協(xié)議，提高網(wǎng)絡(luò)可靠性及效率（4）充分利用訪問(wèn)控制列表（ACL）等措施做好流量過(guò)濾機(jī)流量攻擊防范。

針對(duì)業(yè)務(wù)控制層，（1）BRAS/MSE上行到核心路由器鏈路必須冗余，同時(shí)起到鏈路安全及流量負(fù)載分擔(dān)功能（2）強(qiáng)化訪問(wèn)控制列表（ACL），同時(shí)進(jìn)行一些設(shè)置，以過(guò)濾或阻止某些攻擊企圖，通過(guò)關(guān)閉不必要的服務(wù)降低風(fēng)險(xiǎn)。

針對(duì)接入網(wǎng)，（1）防止環(huán)路，盡量減少二層VLAN透?jìng)鳎?）采用QINQ方式，有效隔離用戶，防止ARP攻擊等。

另外，需在全網(wǎng)做好黑洞路由等安全防護(hù)策略；同時(shí)對(duì)各級(jí)設(shè)備都應(yīng)注重強(qiáng)權(quán)限管理，加強(qiáng)用戶名、密碼、權(quán)限等訪問(wèn)控制手段。而且對(duì)所有網(wǎng)絡(luò)設(shè)備配置及各類數(shù)據(jù)都必須進(jìn)行及時(shí)有效的備份。

圖2 IP城域網(wǎng)安全結(jié)構(gòu)模型

3.2 應(yīng)對(duì)網(wǎng)絡(luò)攻擊的主要技術(shù)策略

3.2.1 設(shè)備防護(hù)。

設(shè)備是一切的基礎(chǔ)，對(duì)設(shè)備的安全進(jìn)行防護(hù)是構(gòu)建IP城域網(wǎng)網(wǎng)絡(luò)安全的主要措施之一。對(duì)設(shè)備我們需要實(shí)行最小化的服務(wù)原則，在使用設(shè)備時(shí)，關(guān)閉設(shè)備上一些并不需要的功能服務(wù)。在認(rèn)證方面使用單點(diǎn)登錄集中認(rèn)證的方法控制維護(hù)人員的遠(yuǎn)程訪問(wèn)，同時(shí)遠(yuǎn)程訪問(wèn)需使用SSH方式，簡(jiǎn)介后還需要有相關(guān)的信息提示。

3.2.2 接入層防護(hù)。

接入層相當(dāng)于網(wǎng)絡(luò)終端與IP城域網(wǎng)的一堵墻，要想對(duì)網(wǎng)絡(luò)終端進(jìn)行隔離就必須把接入層這堵墻建好。對(duì)接入層的建設(shè)主要是加強(qiáng)對(duì)L2網(wǎng)安全防護(hù)，特別加強(qiáng)對(duì)H用戶接入以及網(wǎng)吧接入的管理工作。尤其對(duì)網(wǎng)吧的管理，現(xiàn)網(wǎng)已經(jīng)出現(xiàn)不止一次因?yàn)榫W(wǎng)吧遭受攻擊而影響其接入的那臺(tái)匯聚交換機(jī)甚至是BRAS癱瘓的情況。這就要求全網(wǎng)部署好防流量攻擊策略等。

3.2.3 計(jì)費(fèi)認(rèn)證系統(tǒng)防護(hù)。

相對(duì)其他缺乏安全監(jiān)控的網(wǎng)絡(luò)來(lái)說(shuō)，認(rèn)證計(jì)費(fèi)系統(tǒng)的安全防護(hù)工作還是做得很好。計(jì)費(fèi)認(rèn)證系統(tǒng)防護(hù)方面我們需要對(duì)各個(gè)地市的計(jì)費(fèi)認(rèn)證系統(tǒng)進(jìn)行集中的管理，對(duì)網(wǎng)絡(luò)的訪問(wèn)實(shí)現(xiàn)對(duì)不同業(yè)務(wù)主機(jī)的安全防護(hù)，定期的對(duì)認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行安全的掃描，對(duì)認(rèn)證賬號(hào)、IP進(jìn)行保密。

4.結(jié)論

在新世紀(jì)下整體的IP網(wǎng)絡(luò)需要發(fā)展，但是IP城域網(wǎng)的網(wǎng)絡(luò)安全一定程度上制約著整個(gè)IP網(wǎng)絡(luò)的發(fā)展，因此解決IP城域網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題勢(shì)在必得。為了提高IP城域網(wǎng)的網(wǎng)絡(luò)安全水平，必須根據(jù)實(shí)際情況，制定相應(yīng)的網(wǎng)絡(luò)安全應(yīng)急機(jī)制，對(duì)整個(gè)城域網(wǎng)制定相應(yīng)的應(yīng)急預(yù)案，提高IP城域網(wǎng)整體對(duì)網(wǎng)絡(luò)安全的應(yīng)對(duì)能力，做到防患于未然。

[1]辛榮寰.中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2003年年會(huì)論文集[C].2003.

[2]城域網(wǎng)網(wǎng)絡(luò)架構(gòu)優(yōu)化研究[J].馮南梓.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2017(03)：98-99.

[3]基于IP城域網(wǎng)的優(yōu)化策略及發(fā)展應(yīng)用[J].孔瑩.中國(guó)新通信.2015(04) :101-102.