亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        層層布防提升DCN網(wǎng)安全

        2021-07-22 03:06:38王賢鋒
        江蘇通信 2021年3期
        關(guān)鍵詞:IP地址徐州營業(yè)

        李 明 劉 濤 王賢鋒

        中國電信股份有限公司徐州分公司

        0 引言

        DCN網(wǎng)(Data Communication Network,數(shù)據(jù)通信網(wǎng)絡(luò))是中國電信內(nèi)部IT系統(tǒng)的基礎(chǔ)承載網(wǎng),為電信業(yè)務(wù)、營業(yè)、計費(fèi)、網(wǎng)管數(shù)據(jù)傳輸、多媒體通信等系統(tǒng)提供傳輸通道和通信平臺。徐州DCN網(wǎng)2005年之前是通過2M等方式互聯(lián)的獨(dú)立的專網(wǎng),由華為2600路由器、華為2016或2403等交換機(jī)組成。2005年進(jìn)行了擴(kuò)容,在端局增加了部分華為3528、3352交換機(jī),隨后以O(shè)LT(optical line terminal,光線路終端)設(shè)備為核心的接入網(wǎng)大規(guī)模部署,網(wǎng)絡(luò)延伸到各個鄉(xiāng)鎮(zhèn)局點(diǎn)。DCN網(wǎng)用戶可以通過LAN(局域網(wǎng))或PON(無源光纖網(wǎng)絡(luò))的方式接入城域網(wǎng),通過MPLS VPN(Multi-Protocol Label Switching Virtual Private Network,基于多協(xié)議標(biāo)簽交換技術(shù)的虛擬專用網(wǎng))承載。在城域網(wǎng)內(nèi)采用兩臺高性能的華為NE40E作 為ASBR(Autonomous System Boundary Router,自治系統(tǒng)邊界路由器)對本地網(wǎng)DCN業(yè)務(wù)的路由進(jìn)行匯聚,進(jìn)入CN2(Chinatelecom Next Carrier Network,中國電信下一代承載網(wǎng)絡(luò))網(wǎng)絡(luò),接入省DCN網(wǎng)。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

        圖1 徐州本地網(wǎng)DCN網(wǎng)拓?fù)?/p>

        徐州DCN網(wǎng)主要用途主要有三個方面:

        (1)辦公:主要用于員工辦公使用,包括MSS(Manage Support System,管理支持系統(tǒng))、BSS(Business Support System,業(yè)務(wù)支持系統(tǒng))、OSS(Operation Support System,運(yùn)營支持系統(tǒng))、OA(Office Automatio,辦公自動化)等系統(tǒng)。

        (2) 生產(chǎn):主要用于各設(shè)備、網(wǎng)管使用,包括傳輸網(wǎng)管系統(tǒng)、動環(huán)監(jiān)控等。

        (3) 營業(yè):主要用于營業(yè)廳業(yè)務(wù)辦理,包括自有廳、合作廳、代辦廳等。

        1 DCN現(xiàn)網(wǎng)安全狀況分析

        1.1 DCN網(wǎng)面臨的安全隱患

        (1)企業(yè)信息化、動環(huán)監(jiān)控、設(shè)備網(wǎng)管等對DCN網(wǎng)的需求將長期存在,但目前的接入交換機(jī)已運(yùn)行15~20年,對于一張長期存在的網(wǎng)絡(luò),需要及時替代升級。

        (2)各需求部門組網(wǎng)方式隨意性很強(qiáng),末端接入混亂,網(wǎng)絡(luò)區(qū)域邊界不清晰,容易存在廣播風(fēng)暴,二層環(huán)路等故障點(diǎn)(如圖2所示,多臺交換機(jī)串聯(lián)在一起);網(wǎng)絡(luò)資源比較分散,IP地址各部門混用,關(guān)鍵數(shù)據(jù)分散管理,部分通信資源無法共享,擴(kuò)展性差;再加上工作點(diǎn)分散,私自更換IP地址,容易造成資料不準(zhǔn),資產(chǎn)備案困難,出現(xiàn)障礙無法準(zhǔn)確定位。

        圖2 DCN網(wǎng)末端接入混亂

        (3)本地網(wǎng)DCN網(wǎng)出口沒有配備防火墻,出口路由策略ACL(Access Control Lists,訪問控制列表)配置粗糙,訪問端口策略不合理,容易受到網(wǎng)絡(luò)攻擊,容易導(dǎo)致產(chǎn)生安全漏洞的端口暴露在整個DCN網(wǎng)內(nèi)。

        (4)DCN網(wǎng)IP地址的利用率低,只有新增沒有釋放,缺少IP地址的有序管理,造成IP資源浪費(fèi),剩余可用地址緊張,已經(jīng)影響到后期業(yè)務(wù)開放。

        總之,資源不準(zhǔn)確、接入無管控、無網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)私接、故障定位難、無法溯源、缺少IP有序管理、IP資源浪費(fèi)等問題是目前徐州電信DCN網(wǎng)絡(luò)存在的風(fēng)險點(diǎn)。

        1.2 提升DCN網(wǎng)安全的辦法

        (1)根據(jù)DCN網(wǎng)的用途,利用MPLS VPN技術(shù)劃分多個域,各業(yè)務(wù)在城域網(wǎng)內(nèi)獨(dú)立運(yùn)行。

        (2)利用DCN網(wǎng)出口的兩臺ASBR設(shè)備,在不新增防火墻的前提下,可以通過配置路由、ACL、白名單等方式進(jìn)行全網(wǎng)的安全防護(hù)。

        (3)生產(chǎn)、營業(yè)用DCN網(wǎng),就近接入專線交換機(jī)或接入FTTH網(wǎng)絡(luò)。采用專線電路的方式受理開通。IP地址需求量大的局點(diǎn)配置專用DCN網(wǎng)接入交換機(jī)。

        (4)除生產(chǎn)和營業(yè)用DCN網(wǎng),其余辦公用DCN網(wǎng)一律采取PPPOE(Point-to-Point Protocol Over Ethernet,以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議)撥號方式接入DCN網(wǎng),一人一號,采用VLAN(Virtual Local Area Network,虛擬局域網(wǎng))+MAC(Media Access Control Address,局域網(wǎng)地址)綁定,方便管控。其他人員如要訪問DCN網(wǎng)一律申請F(tuán)TTH(Fiber To The Home,光纖到戶)鏈路接入,采用撥號方式,VLAN+MAC綁定。

        (5)采用固定IP地址接入的需要嚴(yán)格履行IP資產(chǎn)管理、報備手續(xù),在地址啟用、撤銷、變更時需要及時在電信自用IP資產(chǎn)管理系統(tǒng)中同步變更。

        (6)員工安全意識欠缺不容忽視,需要加強(qiáng)管理,很多網(wǎng)內(nèi)運(yùn)行的系統(tǒng)平臺存在敏感信息泄露、弱口令、開放非用端口等安全問題。

        2 解決措施

        2.1 DCN網(wǎng)安全域的劃分

        針對DCN網(wǎng)IP地址的用途分配不同,劃分4個安全域,彼此隔離,并分配不同的權(quán)限:

        (1)辦公域,采取VPDN(Virtual Private Dial Network,虛擬專有撥號網(wǎng)絡(luò))的方式取代配置靜態(tài)IP方式接入。城域網(wǎng)全區(qū)BRAS(Broadband Remote Access Server,寬帶接入服務(wù)器)做VPDN的LAC(L2TP Access Concentrator,L2TP訪問集中器),核心機(jī)房新建一臺BRAS做LNS(L2TP Network Server,L2TP網(wǎng)絡(luò)服務(wù)器),在省AAA(Authentication、Authorization、Accounting,驗(yàn)證、授權(quán)和計費(fèi))系統(tǒng)上新開VPDN-DCN網(wǎng)域名及用戶賬號(域名xzdxdcn.js,用戶賬號采用“電信辦公手機(jī)號@域名”方式)。用戶進(jìn)行撥號在LAC上進(jìn)行一次認(rèn)證,然后在LNS上進(jìn)行二次認(rèn)證并獲得IP地址,原理如圖3所示。每次都要通過省AAA服務(wù)器進(jìn)行認(rèn)證,省AAA服務(wù)器會對用戶賬號一次認(rèn)證、二次認(rèn)證的成功失敗情況、分配的IP地址、以及用戶的接入信息進(jìn)行記錄,借此可以實(shí)現(xiàn)IP地址的溯源,符合網(wǎng)絡(luò)安全管理的規(guī)定。辦公域的權(quán)限可以訪問中國電信DCN網(wǎng)內(nèi)所有資源,但需要部署80、8080、443、21、23等應(yīng)用端口和常見的病毒端口封堵,提高安全性。

        圖3 DCN撥號改造原理圖

        (2)生產(chǎn)域,需通過營業(yè)受理光纖VPN專線業(yè)務(wù)方式開通,為保證生產(chǎn),對原有固定IP地址盡量不修改,但對地址段進(jìn)行了規(guī)整,縮小了掩碼,盡量減少沖突域,并且從原有辦公網(wǎng)接入中獨(dú)立出來,建立新的VPN實(shí)例2980242,在ASBR上采用白名單的方式,控制生產(chǎn)域?qū)CN網(wǎng)絡(luò)的訪問。生產(chǎn)域的權(quán)限只能訪問各類網(wǎng)管、操作各類終端,權(quán)限最小。

        (3)營業(yè)域,通過營業(yè)受理光纖VPN專線業(yè)務(wù),受理時使用VPN實(shí)例ldcn-db,營業(yè)域權(quán)限只能訪問營業(yè)系統(tǒng),訪問的權(quán)限由企業(yè)信息化部賦予。

        (4)專線域,對于非辦公、生產(chǎn)和營業(yè)外的,對固定IP需求的單位,單獨(dú)劃分一個域,通過營業(yè)受理光纖VPN專線業(yè)務(wù),受理時使用VPN實(shí)例ldcn,需求者需要提供詳細(xì)的訪問控制列表,在用戶接入的BRAS子接口上最細(xì)化控制。專線域的權(quán)限只能訪問固定的資源和被固定的資源訪問。

        2.2 路由策略配置

        在徐州兩臺ASBR到CN2的端口上做策略路由配置,并且在BGP中嚴(yán)格路由收發(fā)策略,如圖4所示。

        圖4 路由策略配置

        2.3 DCN網(wǎng)設(shè)備和IP資產(chǎn)納管

        (1)徐州DCN網(wǎng)內(nèi)共55臺DCN網(wǎng)設(shè)備、1973條DCN網(wǎng)用電路(包括ASBR與CN2互聯(lián)電路)納入IPOSS網(wǎng)管,實(shí)現(xiàn)實(shí)時監(jiān)控,便于障礙處理。

        (2)根據(jù)集團(tuán)公司、省公司關(guān)于《關(guān)于開展2020年云網(wǎng)運(yùn)營能力和客戶感知雙提升專項(xiàng)行動的通知》、《關(guān)于發(fā)布 DCN 網(wǎng)絡(luò)優(yōu)化整治實(shí)施方案的通知》、《加強(qiáng) DCN 網(wǎng)絡(luò) IP 地址管理工作的通知》文件要求,DCN網(wǎng)IP地址必須實(shí)名制登記,通過營業(yè)受理的光纖VPN專線,電路開通之后需進(jìn)行IP資產(chǎn)的登記,明確IP地址的使用人、管理人、使用用途,備案的IP地址包括網(wǎng)絡(luò)地址、網(wǎng)關(guān)、廣播地址、已分配使用地址、已分配未使用地址等,如有變化,及時申請變更。目前已實(shí)現(xiàn)10931條IP地址資產(chǎn)納入自用地址管理系統(tǒng)。納入管理系統(tǒng)的IP資產(chǎn),定期進(jìn)行漏洞和病毒掃描,確保安全。

        2.4 加強(qiáng)員工安全意識培養(yǎng)

        對全體員工進(jìn)行信息安全方面的培訓(xùn),尤其對于密碼策略選擇和防范社會工程攻擊等領(lǐng)域加強(qiáng)培訓(xùn)。各部門設(shè)立專兼職的安全員,分公司專職安全員每月進(jìn)行全網(wǎng)的漏洞掃描,組織進(jìn)行整治和系統(tǒng)補(bǔ)丁更新。

        3 經(jīng)驗(yàn)總結(jié)

        3.1 徐州DCN網(wǎng)安全得到極大提升

        根據(jù)集團(tuán)和省公司的要求,徐州結(jié)合本地DCN網(wǎng)特點(diǎn),通過優(yōu)化網(wǎng)絡(luò)拓?fù)洌瑒澐諨CN網(wǎng)安全域、優(yōu)化配置路由及ACL策略,IP資產(chǎn)報備,員工安全培訓(xùn)等措施來提升徐州DCN網(wǎng)安全,采用零投資的方式實(shí)現(xiàn)了和防火墻一樣的效果,徐州電信DCN網(wǎng)已初步構(gòu)建成動態(tài)的網(wǎng)絡(luò)安全體系,為網(wǎng)絡(luò)的安全運(yùn)行提供了強(qiáng)有力的保障,其具備的特點(diǎn)如下:

        (1)節(jié)省投資、利舊線路、避免浪費(fèi),盡量利用員工的原有線路進(jìn)行VPDN撥號改造,減少員工布線工作;

        (2)區(qū)分安全域,電信員工自用、代理及外包單位、生產(chǎn)用IP的接入線路和網(wǎng)段地址分離,控制不同網(wǎng)段可訪問范圍,最小授權(quán);

        (3)用戶出口統(tǒng)一管控、統(tǒng)一限制非法端口,保證電信自用網(wǎng)絡(luò)的安全性;

        (4)對現(xiàn)有SR/BRAS等核心設(shè)備的改動較小,不影響現(xiàn)網(wǎng)業(yè)務(wù);

        (5)提高IP資產(chǎn)管理準(zhǔn)確率、確保溯源能力,解決以往部分區(qū)域追查不到具體責(zé)任人的問題。

        3.2 從信息系統(tǒng)全局安全管理的角度來看,仍有不足

        (1)現(xiàn)有的技術(shù)措施,對于事前預(yù)防尚存在不足,缺乏一套完善的信息安全預(yù)警體系。通過信息安全預(yù)警系統(tǒng),可以實(shí)現(xiàn)對全DCN網(wǎng)信息資產(chǎn)和業(yè)務(wù)數(shù)據(jù)流的安全狀態(tài)監(jiān)控和預(yù)警。

        (2)與其他本地網(wǎng)安全策略存在矛盾,尤其是互訪權(quán)限的配置。在權(quán)限允許內(nèi)的遠(yuǎn)程接入網(wǎng)絡(luò)被入侵后,當(dāng)做跳板來入侵本地網(wǎng)絡(luò)的情況無法避免。

        4 結(jié)束語

        網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,是艱巨而長期的工作。一個安全方案不可能解決所有安全問題,也沒有一勞永逸的安全方案,它不是靜止產(chǎn)品,必須根據(jù)實(shí)際情況,適時調(diào)整安全策略。網(wǎng)絡(luò)安全管理人員要不斷努力來提升安全,使風(fēng)險處于掌控之中。

        猜你喜歡
        IP地址徐州營業(yè)
        “太空旅館”營業(yè)中
        疫散待春回
        心聲歌刊(2022年3期)2022-06-06 06:31:42
        爆笑三國 第三回 三讓徐州
        徐州過年紀(jì)實(shí)
        蘇翠2號梨在徐州的引種表現(xiàn)及配套栽培技術(shù)
        落葉果樹(2021年6期)2021-02-12 01:29:18
        鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        陜西省屬國企營業(yè)收入位列全國前三
        第三季度(單季)營業(yè)收入同比增(減)幅前50家公司
        前三季度營業(yè)收入同比增(減)幅前50家公司
        亚洲无亚洲人成网站77777| 久久久亚洲经典视频| 国产欧美日韩综合在线一区二区| 被黑人做的白浆直流在线播放| 一区二区av日韩免费| 谷原希美中文字幕在线| 亚洲av无码成人精品区狼人影院| 人妻少妇不满足中文字幕| 丰满熟女人妻中文字幕免费| 亚洲AV无码资源在线观看| 亚洲国产都市一区二区| 亚洲乱码中文字幕在线播放| 精品久久久无码中字| vr成人片在线播放网站| 久久精品免费一区二区喷潮| 欧洲国产成人精品91铁牛tv| 国产人禽杂交18禁网站| 一区二区三区在线观看高清视频| 亚洲国产一区二区中文字幕| 日本av在线一区二区| 激情影院内射美女| 亚洲另类国产综合第一| 精品综合久久久久久8888| 国产福利一区二区三区视频在线看| 国产另类av一区二区三区| 一区二区视频在线观看地址| 亚洲av永久无码天堂网小说区| 欧美综合自拍亚洲综合图片区 | 极品新婚夜少妇真紧| 品色堂永远的免费论坛| 国产精品18久久久久网站| 国产午夜精品综合久久久| 亚洲av永久无码精品古装片 | 麻豆免费观看高清完整视频| 久久无码人妻一区二区三区午夜| 日本一区二区三区中文字幕最新| 在线观看女同一区二区| 极品尤物精品在线观看| 99久久精品免费观看国产| 亚洲精品综合一区二区三| 精品国产91天堂嫩模在线观看|