劉　惠

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展演變，IP寬帶城域網(wǎng)已成為寬帶網(wǎng)絡(luò)的發(fā)展方向，各種信息化應(yīng)用都將基于IP技術(shù)。本文在分析目前IP寬帶城域網(wǎng)在安全應(yīng)用與管理方面存在問題的基礎(chǔ)上，從設(shè)備安全、結(jié)構(gòu)安全、應(yīng)用安全三個(gè)方面闡述了如何保障網(wǎng)絡(luò)的安全性和運(yùn)行質(zhì)量,從而構(gòu)件一個(gè)“可控制、可管理、可經(jīng)營”的電信級(jí)IP寬帶城域網(wǎng)，為各種信息化應(yīng)用提供一個(gè)安全可信的基礎(chǔ)點(diǎn)心網(wǎng)絡(luò)平臺(tái)。

關(guān)鍵字：設(shè)備安全；結(jié)構(gòu)安全；應(yīng)用安全

經(jīng)過了數(shù)年市場變遷，當(dāng)前我國IP城域網(wǎng)又面臨著一個(gè)新的發(fā)展階段。對(duì)IP城域網(wǎng)的需求已經(jīng)從簡單的高帶寬，轉(zhuǎn)向可提供高質(zhì)量、多業(yè)務(wù)、高可靠性不間斷通信的方向發(fā)展。因此，作為網(wǎng)絡(luò)質(zhì)量的基礎(chǔ)之一，網(wǎng)絡(luò)安全問題已越來越受到運(yùn)營商的重視。同時(shí)，在一些特殊的行業(yè)應(yīng)用中，例如銀行、公安、支付、企業(yè)互聯(lián)互通等，IP網(wǎng)絡(luò)的安全性、保密性又被作為一種對(duì)實(shí)際業(yè)務(wù)的要求而提出，也促進(jìn)了IP城域網(wǎng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

1 城域網(wǎng)網(wǎng)絡(luò)架構(gòu)與安全現(xiàn)狀

IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)分為三個(gè)層次：網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)匯聚層、寬帶接入層，網(wǎng)絡(luò)的各個(gè)層次承擔(dān)了不同的功能。根據(jù)城域網(wǎng)不同網(wǎng)絡(luò)層次的不同功能，每個(gè)層次都有不同的特點(diǎn)，面臨不同的安全問題。核心層網(wǎng)絡(luò)主要面臨的安全問題是路由的安全及核心層設(shè)備自身受攻擊的問題;匯聚層網(wǎng)絡(luò)主要面臨的安全問題是路由的安全、各種異常流量的抑制、用戶業(yè)務(wù)的安全，以及用戶訪問的控制;接入層網(wǎng)絡(luò)主要由一些二層接入設(shè)備構(gòu)成，其主要面臨的安全問題是一些基于二層協(xié)議的用戶攻擊行為和廣播風(fēng)暴的抑制等。

2 IP城域網(wǎng)網(wǎng)絡(luò)安全模型

對(duì)于寬帶IP網(wǎng)絡(luò)運(yùn)營商而言，寬帶城域網(wǎng)包括基礎(chǔ)承載網(wǎng)絡(luò)和運(yùn)營支撐平臺(tái)兩個(gè)部分。城域承載網(wǎng)是城域網(wǎng)業(yè)務(wù)接入、匯聚和交換的物理核心網(wǎng)，它由核心交換層、邊緣匯聚層、綜合接入層構(gòu)成。運(yùn)營支撐平臺(tái)由業(yè)務(wù)支撐平臺(tái)、網(wǎng)管平臺(tái)、認(rèn)證計(jì)費(fèi)平臺(tái)等組成。針對(duì)IP城域網(wǎng)承載網(wǎng)絡(luò)部分面臨的安全問題的特點(diǎn)，從設(shè)備安全、結(jié)構(gòu)安全、應(yīng)用安全來控制網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)。對(duì)于城域網(wǎng)運(yùn)營支撐平臺(tái)，我們將采用分區(qū)域的安全模型，將支撐平臺(tái)劃分成三個(gè)區(qū)域：信任域、非信任域和隔離區(qū)域。信任域是寬帶運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)，通常采用防火墻等設(shè)備與電信業(yè)務(wù)承載網(wǎng)隔離，包括網(wǎng)管平臺(tái)、智能業(yè)務(wù)平臺(tái)、認(rèn)證平臺(tái)等設(shè)備;隔離區(qū)域是信任域和非信任域之間進(jìn)行數(shù)據(jù)交互的平臺(tái)，包括電信運(yùn)營商提供的各種業(yè)務(wù)平臺(tái)，如Web服務(wù)平臺(tái)、FTP服務(wù)器、用戶查詢平臺(tái)、Mail服務(wù)器等;非信任域是運(yùn)營商面對(duì)客戶的基礎(chǔ)網(wǎng)絡(luò)，它直接提供用戶的接入和業(yè)務(wù)，同時(shí)也是Internet網(wǎng)絡(luò)的一部分，包括基礎(chǔ)用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關(guān)等設(shè)備，是運(yùn)營商不能完全控制的網(wǎng)絡(luò)。非信任域的基礎(chǔ)網(wǎng)絡(luò)是信息傳輸?shù)幕A(chǔ)，在城域網(wǎng)中起著至關(guān)重要的作用，作為安全模型中的非信任域，需要重點(diǎn)考慮。

3 城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)安全是指網(wǎng)絡(luò)在結(jié)構(gòu)設(shè)計(jì)上保證不會(huì)出現(xiàn)單點(diǎn)失效，主要由網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)、網(wǎng)絡(luò)協(xié)議的選用等等來保證。

在城域網(wǎng)網(wǎng)絡(luò)中，注重鏈路的備份和冗余，尤其在核心層和匯聚層，匯聚層的路由交換機(jī)以兩條鏈路連接到兩臺(tái)骨干路由器上，通過運(yùn)行動(dòng)態(tài)路由協(xié)議OSPF協(xié)議實(shí)現(xiàn)鏈路的冗余備份和自動(dòng)倒換，避免了由于鏈路故障導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷。采用虛擬局域網(wǎng)VLAN主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。因此，規(guī)劃VLAN時(shí)也綜合考慮這三方面的因素。接入層設(shè)備為支持VLAN功能，為了進(jìn)行不同用戶間的有效隔離和互聯(lián)，需要利用交換機(jī)對(duì)用戶進(jìn)行不同的VLAN劃分。具體做法可以是將交換機(jī)的每一端口劃分一個(gè)VLAN以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過上連設(shè)備的ACL功能來控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN，直接實(shí)現(xiàn)有限制的用戶互聯(lián)。

4 城域網(wǎng)網(wǎng)絡(luò)應(yīng)用安全

4.1 黑客攻擊的防范

黑客攻擊的手段多種多樣，其中對(duì)電信級(jí)IP城域網(wǎng)危害最大的就是DOS攻擊， DOS攻擊是目前一種較為普遍的攻擊手段，黑客通過對(duì)目標(biāo)主機(jī)或服務(wù)器建立大量的連接，使網(wǎng)絡(luò)中的路由器和服務(wù)器處理不過來，或?qū)⒛硹l鏈路阻塞，造成正常的用戶無法訪問。針對(duì)外面網(wǎng)絡(luò)的攻擊，我們需要從上聯(lián)側(cè)的路由器/交換機(jī)協(xié)同工作，做出正確的配置（如避免轉(zhuǎn)發(fā)廣播到內(nèi)部網(wǎng)絡(luò)），利用交換機(jī)控制SYN/ICMP包數(shù)量，利用路由器的采樣和防止NOC/地址欺騙功能。黑客攻擊是網(wǎng)絡(luò)應(yīng)用安全的重點(diǎn)，但并不是全部。網(wǎng)絡(luò)應(yīng)用安全還應(yīng)該包括對(duì)網(wǎng)絡(luò)內(nèi)部不同用戶權(quán)限的外部訪問控制。

4.2 用戶認(rèn)證安全

在IP城域網(wǎng)安全部署實(shí)施中，主要在以下幾個(gè)方面實(shí)現(xiàn)對(duì)用戶有效的管理和控制： 通過PPPOE、DHCP+WEB、802.1X等多種認(rèn)證方式,實(shí)現(xiàn)對(duì)各種接入用戶和接入業(yè)務(wù)的接入認(rèn)證功能；通過VLAN ID和PVC ID唯一標(biāo)識(shí)每個(gè)用戶以及其物理定位；對(duì)用戶名、地址、VLAN或PVC等屬性進(jìn)行綁定，防止用戶帳號(hào)、IP地址被仿冒或盜用；限制一個(gè)用戶、一個(gè)VLAN或PVC只能申請(qǐng)有限的IP地址，防止用戶惡意申請(qǐng)IP地址。

5 城域網(wǎng)網(wǎng)絡(luò)安全控制

為實(shí)現(xiàn)整個(gè)IP城域網(wǎng)網(wǎng)絡(luò)的安全性，必須在城域網(wǎng)核心路由器、路由交換機(jī)、寬帶接入服務(wù)器等設(shè)備采取多種安全控制機(jī)制。具體的手段如下：

防火墻（Stateful Firewall）

為了實(shí)現(xiàn)對(duì)用戶安全更有效的保證，單純的訪問列表并不能實(shí)現(xiàn)流量的動(dòng)態(tài)跟蹤，在IP城域網(wǎng)安全部署實(shí)施中還要部署狀態(tài)防火墻，狀態(tài)防火墻是一般包過濾結(jié)構(gòu)的一種改進(jìn)型的擴(kuò)展。狀態(tài)防火墻在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對(duì)該連接是接受還是拒絕。

安全ARP

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于網(wǎng)絡(luò)中，當(dāng)網(wǎng)絡(luò)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過"ARP欺騙"手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。 針對(duì)此類問題需要引入了安全化的ARP。

6 未來城域網(wǎng)安全防護(hù)趨勢(shì)

一方面，隨著WLAN技術(shù)在城域網(wǎng)接入環(huán)節(jié)的興起，關(guān)于無線接入的用戶隔離技術(shù)以及針對(duì)WLAN接入的網(wǎng)絡(luò)安全防護(hù)，將成為城域網(wǎng)中的重要發(fā)展方向。由于WLAN技術(shù)自身在安全方面的缺陷，導(dǎo)致用戶不能有效隔離和用戶接入網(wǎng)絡(luò)易受攻擊。現(xiàn)在已經(jīng)有多種技術(shù)可以彌補(bǔ)WLAN技術(shù)在安全方面的缺陷，如：可以采用AP隔離、AP與用戶IP/MAC地址綁定、WEP加密技術(shù)、WPA接入保護(hù)、Portal+Radius認(rèn)證等技術(shù)手段來提升WLAN網(wǎng)絡(luò)的安全特性。另一方面，隨著僵尸網(wǎng)絡(luò)的產(chǎn)生和網(wǎng)絡(luò)攻擊行為的復(fù)雜化，未來網(wǎng)絡(luò)中的黑客攻擊將成為越來越突出的安全問題。對(duì)比之下，傳統(tǒng)的IP城域網(wǎng)對(duì)于這些黑客的攻擊行為的識(shí)別、抵御和防范存在明顯的不足，因此，為了抵御日趨復(fù)雜的攻擊行為，必須對(duì)城域網(wǎng)的防攻擊能力有一個(gè)完整的規(guī)劃，首先我們應(yīng)該建立一個(gè)蜜網(wǎng)系統(tǒng)，利用該系統(tǒng)可以從網(wǎng)絡(luò)中獲取實(shí)際的病毒數(shù)據(jù)和攻擊行為樣本，通過分析可以及時(shí)掌握網(wǎng)絡(luò)中存在的僵尸系統(tǒng)和其指令集，并可以在網(wǎng)絡(luò)防火墻上指定有針對(duì)性的防御策略;其次，我們應(yīng)該采用一些集成的攻擊防御平臺(tái)，在網(wǎng)絡(luò)設(shè)備和運(yùn)營支撐平臺(tái)上采用多種防御手段相結(jié)合的策略，抵御網(wǎng)絡(luò)上的攻擊行為。

參考文獻(xiàn)

[1]電信級(jí)IP信息網(wǎng)絡(luò)的構(gòu)建.人民郵電出版社.

[2]寬帶IP城域網(wǎng)的路由設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)工程與應(yīng)用

[3]DOS攻擊技術(shù)及其防范.計(jì)算機(jī)安全.

[4]Ethernet的ARP欺騙原理及防御.網(wǎng)絡(luò)完全技術(shù)與應(yīng)用

作者簡介：劉惠，女，1969年出生，2007年畢業(yè)于吉林大學(xué)通信工程專業(yè)，中國聯(lián)合網(wǎng)絡(luò)通信有限公司七臺(tái)河市分公司網(wǎng)絡(luò)管理中心副經(jīng)理。