劉立斌

IMS網(wǎng)絡(luò)中防火墻設(shè)備的具體應(yīng)用

劉立斌

復(fù)雜的網(wǎng)絡(luò)環(huán)境和智能化的終端設(shè)備直接影響IMS用戶使用感知，通過(guò)對(duì)現(xiàn)有網(wǎng)絡(luò)部署應(yīng)用的分析與研究，提出一種優(yōu)化方案提高IMS網(wǎng)絡(luò)的可靠性和安全性。

IMS；防火墻

一、引言

隨著寬帶技術(shù)快速發(fā)展，在數(shù)據(jù)網(wǎng)上進(jìn)行多媒體通信已經(jīng)成為一種普遍需求。IP多媒體子系統(tǒng)（IMS）是一種嶄新的多媒體業(yè)務(wù)形式，采用SIP（Session Initiation Protocol）協(xié)議作為其會(huì)話控制協(xié)議，利用SIP簡(jiǎn)易、靈活、易擴(kuò)展、協(xié)商便捷等優(yōu)點(diǎn)來(lái)提高網(wǎng)絡(luò)的未來(lái)適應(yīng)能力。與傳統(tǒng)PSTN相比，無(wú)論是所能提供的業(yè)務(wù)類型還是成本控制，IMS均有突出的優(yōu)點(diǎn)?；贗P技術(shù)實(shí)現(xiàn)的IMS網(wǎng)絡(luò)繼承了IP的優(yōu)點(diǎn)，同樣也繼承了IP網(wǎng)絡(luò)的多種安全性和可靠性問(wèn)題。所以，在IMS網(wǎng)絡(luò)中部署防火墻是必不可少的環(huán)節(jié)，本文重點(diǎn)探究如何在IMS網(wǎng)絡(luò)中部署防火墻，從而提高網(wǎng)絡(luò)的安全性和可靠性。

二、網(wǎng)絡(luò)的安全性和可靠性概念

（一）網(wǎng)絡(luò)的安全性概念

網(wǎng)絡(luò)的安全性是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。網(wǎng)絡(luò)設(shè)備作為基礎(chǔ)設(shè)施是信息處理的關(guān)鍵所在，若其安全性能較低，整個(gè)網(wǎng)絡(luò)安全性能更難以保障。一般在網(wǎng)絡(luò)系統(tǒng)終端具有較高的交換信息能力情況下，網(wǎng)絡(luò)安全性自然也會(huì)得到提高。同時(shí)需要注意的是所有信息產(chǎn)生后都會(huì)由網(wǎng)絡(luò)系統(tǒng)承載，這就要對(duì)網(wǎng)絡(luò)設(shè)備質(zhì)量提出更高的要求。

盡管近幾年運(yùn)營(yíng)商和大多企業(yè)對(duì)網(wǎng)絡(luò)安全給予足夠的重視，但由于技術(shù)的日新月異，使得提高網(wǎng)絡(luò)安全性這一目標(biāo)很難完全實(shí)現(xiàn)。本文研究主要從通過(guò)部署防火墻提高數(shù)據(jù)的安全性。

（二）網(wǎng)絡(luò)的可靠性概念

網(wǎng)絡(luò)的可靠性是指硬件的可靠性、軟件的可靠性、人員的可靠性和環(huán)境的可靠性。影響網(wǎng)絡(luò)可靠性的主要因素包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的可靠性和網(wǎng)絡(luò)設(shè)備的可靠性。

計(jì)算機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)包括星型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)和混合型結(jié)構(gòu)。選擇何種網(wǎng)絡(luò)結(jié)構(gòu)需要根據(jù)實(shí)際情況決定，沒(méi)有哪種網(wǎng)絡(luò)結(jié)構(gòu)具備絕對(duì)的可靠性，這需要在網(wǎng)絡(luò)部署完成后不斷地升級(jí)與擴(kuò)容，使其可靠性不斷增強(qiáng)。網(wǎng)絡(luò)設(shè)備的可靠性包括傳輸設(shè)備可靠性和數(shù)通設(shè)備可靠性。

三、防火墻的基本原理

（一）防火墻的基本概念

在實(shí)際的網(wǎng)絡(luò)環(huán)境中，單一的安全防護(hù)技術(shù)不足以確保網(wǎng)絡(luò)的安全，多種安全防護(hù)技術(shù)的綜合應(yīng)用才能夠?qū)踩L(fēng)險(xiǎn)控制在盡量小的范圍內(nèi)。

一般而言，構(gòu)建一個(gè)安全防范體系具體實(shí)施的第一項(xiàng)內(nèi)容就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)筑一道防線，以抵御來(lái)自外部的絕大多數(shù)攻擊。完成這項(xiàng)任務(wù)的網(wǎng)絡(luò)產(chǎn)品的作用類似于建筑行業(yè)中用于防止火災(zāi)蔓延的隔斷墻，因此我們稱這種網(wǎng)絡(luò)產(chǎn)品為防火墻。

防火墻是監(jiān)控可信任網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）之間的訪問(wèn)通道。它一方面阻止來(lái)自外部網(wǎng)絡(luò)的用戶對(duì)內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)。防火墻也可以作為一個(gè)訪問(wèn)因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)的特定的主機(jī)可以訪問(wèn)因特網(wǎng)?，F(xiàn)在的許多防火墻同時(shí)還具有一些其他特點(diǎn)，如進(jìn)行身份鑒別、對(duì)信息進(jìn)行安全處理（如加密）等等。

防火墻不單用于對(duì)因特網(wǎng)的連接，也可以用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的大型機(jī)和重要的資源（如數(shù)據(jù)）。對(duì)受保護(hù)數(shù)據(jù)的訪問(wèn)都必須經(jīng)過(guò)防火墻的過(guò)濾，即使網(wǎng)絡(luò)內(nèi)部用戶要訪問(wèn)受保護(hù)的數(shù)據(jù)，也要經(jīng)過(guò)防火墻。

（二）防火墻的基本功能

1.入侵防御（IPS）

IPS功能通過(guò)對(duì)應(yīng)用協(xié)議的詳細(xì)解析及異常檢測(cè)，防御對(duì)網(wǎng)絡(luò)終端應(yīng)用的入侵攻擊。其主要手段有深度檢測(cè)和防護(hù)、IPS簽名庫(kù)和入侵攻擊日志記錄。

2.運(yùn)營(yíng)級(jí) NAT（CGN）

由于移動(dòng)寬帶網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新技術(shù)以及各種應(yīng)用服務(wù)的高速發(fā)展，IPv4地址資源已經(jīng)枯竭。IPv6是解決IPv4地址耗竭的根本辦法，互聯(lián)網(wǎng)向IPv6網(wǎng)絡(luò)的過(guò)渡已刻不容緩。在目前IPv6尚未商用的情況下，一種優(yōu)秀的過(guò)渡技術(shù)顯得十分重要，NAT就是其中之一。常用的NAT技術(shù)有Dual-Stack+NAT444、6RD、DS-Lite和 NAT64。

選擇哪種具體的過(guò)渡技術(shù)，與運(yùn)營(yíng)商擁有的IPv4地址數(shù)量、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和流量模型、初期部署升級(jí)的難度以及后期演進(jìn)思路等因素有關(guān)。

3.異常流量監(jiān)管（Anti-DDoS）

當(dāng)今網(wǎng)絡(luò)威脅的種類、網(wǎng)絡(luò)攻擊的強(qiáng)度正呈幾何速度增長(zhǎng)，針對(duì)HTTP、HTTPS、SIP、DNS等應(yīng)用層協(xié)議的攻擊類型不斷創(chuàng)新，使用傳統(tǒng)的、基于Flow的大流量分析攻擊的檢測(cè)方法瀕臨失敗。如何應(yīng)對(duì)海量攻擊和應(yīng)用層攻擊，保證網(wǎng)絡(luò)穩(wěn)定運(yùn)行？如何降低維護(hù)成本，提高收益？這已經(jīng)是運(yùn)營(yíng)商面臨兩大亟待解決的難題。異常流量監(jiān)管（Anti-DDoS）正是解決兩大難題的法寶。通常異常流量監(jiān)管（Anti-DDoS）由檢測(cè)中心、清洗中心和管理中心三部分組成。

4.安全策略

防火墻安全策略可以支持多種具體功能，如通過(guò)IPv4/IPv6的基本ACL和高級(jí)ACL實(shí)現(xiàn)增強(qiáng)的報(bào)文過(guò)濾功能；通過(guò)將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)丟棄黑名單用戶的報(bào)文實(shí)現(xiàn)黑名單過(guò)濾惡意主機(jī)；提供諸如認(rèn)證、授權(quán)方案，同時(shí)支持與計(jì)費(fèi)服務(wù)器、記錄服務(wù)器協(xié)同工作，對(duì)網(wǎng)絡(luò)訪問(wèn)安全進(jìn)行集中管理等多種認(rèn)證方式；用于與GSN（GPRS Support Node）產(chǎn)品進(jìn)行聯(lián)合組網(wǎng)，保障GPRS（General Packet Radio Service）網(wǎng)絡(luò)上的數(shù)據(jù)傳輸安全的GTP保護(hù)功能等。

四、防火墻在IMS網(wǎng)絡(luò)中的部署

（一）場(chǎng)景分析

本文主要研究的場(chǎng)景為某運(yùn)營(yíng)商IMS環(huán)境，圖1為具體拓?fù)?，在整個(gè)環(huán)境中共分為三層。接入層為ISBC設(shè)備，負(fù)責(zé)接入用戶端的語(yǔ)音設(shè)備，直接為用戶提供豐富的語(yǔ)音業(yè)務(wù)，匯聚層主要由路由器和防火墻組成，其中路由器負(fù)責(zé)提供路由策略，防火墻處于IMS網(wǎng)絡(luò)和Internet之間，負(fù)責(zé)有條件隔離兩個(gè)網(wǎng)絡(luò)的威脅，保證整個(gè)網(wǎng)絡(luò)的安全性和可靠性；核心層由兩臺(tái)高性能核心路由器組成，負(fù)責(zé)將整個(gè)IMS網(wǎng)絡(luò)的流量快速轉(zhuǎn)發(fā)至Internet。IMS網(wǎng)絡(luò)中的安全性和可靠性主要由匯聚層實(shí)現(xiàn)，本文主要從匯聚層兩種設(shè)備的配合使用，尤其是防火墻設(shè)備的部署來(lái)實(shí)現(xiàn)IMS網(wǎng)絡(luò)的安全可靠。

圖1

（二）IMS網(wǎng)絡(luò)可靠性保證

整個(gè)網(wǎng)絡(luò)均采用雙歸屬的架構(gòu)方式，采用雙機(jī)熱備份的方式保證網(wǎng)絡(luò)最基本的可靠性。當(dāng)網(wǎng)絡(luò)正常時(shí)，流量均通過(guò)主用設(shè)備轉(zhuǎn)發(fā)，當(dāng)網(wǎng)絡(luò)設(shè)備或鏈路出現(xiàn)故障時(shí)，網(wǎng)絡(luò)會(huì)自動(dòng)切換至備用設(shè)備上，確保業(yè)務(wù)不間斷或在最短的時(shí)間內(nèi)恢復(fù)正常，詳細(xì)見(jiàn)圖2。

為了能滿足上述需求，需要配置以下幾種協(xié)議：

1.VRRP(Virtual Router Redundancy Protocol)

虛擬網(wǎng)關(guān)冗余協(xié)議是一種容錯(cuò)協(xié)議，通過(guò)對(duì)物理設(shè)備和邏輯設(shè)備的分離，實(shí)現(xiàn)在多個(gè)出口網(wǎng)關(guān)之間進(jìn)行選路。通過(guò)對(duì)參數(shù)的設(shè)定，將兩臺(tái)設(shè)備，如兩臺(tái)防火墻、兩臺(tái)路由器虛擬成一臺(tái)邏輯上的設(shè)備，由這一臺(tái)邏輯設(shè)備轉(zhuǎn)發(fā)用戶報(bào)文，當(dāng)其中一臺(tái)物理設(shè)備發(fā)生故障，通過(guò)VRRP協(xié)議可以自動(dòng)將流量切換至另外一臺(tái)物理設(shè)備，對(duì)用戶而言邏輯設(shè)備沒(méi)有變化。

2.HRP(Huawei Redundancy Protocol)

該協(xié)議可以將動(dòng)態(tài)狀態(tài)數(shù)據(jù)和命令信息進(jìn)行實(shí)時(shí)備份，確保不會(huì)因?yàn)橹饔迷O(shè)備的故障而導(dǎo)致與備用設(shè)備數(shù)據(jù)和命令的不一致。

3.IP-Link

即鏈路可達(dá)性檢查，通過(guò)防火墻定時(shí)地向指定的目的IP進(jìn)行ICMP回顯請(qǐng)求，并等待應(yīng)答。在設(shè)定的時(shí)限內(nèi)未收到回應(yīng)報(bào)文時(shí)，則認(rèn)為當(dāng)前鏈路發(fā)生故障，并進(jìn)行與鏈路相關(guān)的后續(xù)操作。當(dāng)原來(lái)認(rèn)為故障的鏈路，在之后設(shè)定的時(shí)限內(nèi)，有連續(xù)的3個(gè)回應(yīng)報(bào)文收到，則認(rèn)為鏈路故障已經(jīng)消除，此時(shí)進(jìn)行鏈路恢復(fù)的后續(xù)操作。

圖2

（三）IMS網(wǎng)絡(luò)安全性保證

IMS網(wǎng)絡(luò)安全性主要通過(guò)防火墻設(shè)備安全策略實(shí)現(xiàn)，這里主要介紹安全區(qū)域的劃分和包過(guò)濾的配置兩種手段。

1.安全區(qū)域(Security Zone)

一個(gè)安全區(qū)域是若干接口的組合，這些接口所連接的用戶具有相同的安全屬性。每個(gè)安全區(qū)域具有全局唯一的安全優(yōu)先級(jí)，即不存在兩個(gè)具有相同優(yōu)先級(jí)的安全區(qū)域。防火墻中默認(rèn)定義Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域，安全級(jí)別由高到低。默認(rèn)情況下，區(qū)域內(nèi)數(shù)據(jù)流動(dòng)不會(huì)觸發(fā)安全策略檢查，區(qū)域間的數(shù)據(jù)流動(dòng)會(huì)觸發(fā)安全策略的檢查。所以安全區(qū)域的正確劃分可以有效規(guī)避一定的安全問(wèn)題。

2.包過(guò)濾

包過(guò)濾作為一種網(wǎng)絡(luò)安全保護(hù)機(jī)制，用于控制在兩個(gè)相同或不同安全級(jí)別網(wǎng)絡(luò)之間數(shù)據(jù)的流入和流出，是防火墻安全功能的重要組成部分。對(duì)于需要轉(zhuǎn)發(fā)的報(bào)文，防火墻先獲取報(bào)文頭信息，包括報(bào)文的源IP地址、目的IP地址、IP層所承載的上層協(xié)議的協(xié)議類型、源端口號(hào)和目的端口號(hào)等，然后和預(yù)先設(shè)定的過(guò)濾規(guī)則進(jìn)行匹配，并根據(jù)匹配結(jié)果對(duì)報(bào)文采取轉(zhuǎn)發(fā)或丟棄處理。為了實(shí)現(xiàn)包過(guò)濾功能，需要配置一系列的過(guò)濾規(guī)則。

五、結(jié)束語(yǔ)

網(wǎng)絡(luò)給人們帶來(lái)便捷的同時(shí)，也帶來(lái)很多安全方面的困擾，網(wǎng)絡(luò)開(kāi)放性的特點(diǎn)使得網(wǎng)絡(luò)容易遭受外界的攻擊和自身缺陷產(chǎn)生的威脅，而單一無(wú)保護(hù)的網(wǎng)絡(luò)結(jié)構(gòu)容易帶來(lái)可靠性的問(wèn)題。要想解決這些困擾，必須不斷完善網(wǎng)絡(luò)結(jié)構(gòu)，優(yōu)化網(wǎng)絡(luò)性能，將諸如防火墻技術(shù)和可靠性技術(shù)結(jié)合到一起使用。此外，正規(guī)的安全操作也不容忽視，只有這樣，才能使網(wǎng)絡(luò)既可靠又安全。

[1]李延斌.IMS網(wǎng)絡(luò)安全部署策略研究[J].網(wǎng)絡(luò)安全架構(gòu),2016:10-15.

[2]王楨,楊俊鵬.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)探討[J].網(wǎng)絡(luò)安全,2014:129-130.

[3]楊陽(yáng).論計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠性[J].無(wú)線互聯(lián)科技,2016:36-37.

F224.33

A

1008-4428（2017）09-10-03

劉立斌，男，遼寧遼中人，高級(jí)工程師，現(xiàn)任中移鐵通有限公司江蘇分公司總經(jīng)理。