◆郭文雙

?

城域網(wǎng)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)

◆郭文雙

(天津津融小貸管理有限公司 天津 300000)

隨著時(shí)代的發(fā)展，現(xiàn)如今越來(lái)越重視城域網(wǎng)方面的問(wèn)題。通過(guò)建設(shè)安全規(guī)范化的城域網(wǎng)，提高城域網(wǎng)個(gè)人網(wǎng)絡(luò)的安全性、可靠性，并加大了寬帶的使用率。本文從城域網(wǎng)的概念、城域網(wǎng)的發(fā)展這兩方面進(jìn)行了深入研究。

城域網(wǎng)；網(wǎng)絡(luò)安全

0 前言

隨著現(xiàn)今城域網(wǎng)的普遍使用，城域網(wǎng)方面出現(xiàn)的問(wèn)題也越來(lái)越多，為了保證網(wǎng)絡(luò)能夠安全正常的使用，需要各部門對(duì)網(wǎng)絡(luò)安全問(wèn)題加以重視。根據(jù)網(wǎng)絡(luò)功能的差別，可將城域網(wǎng)分為核心層、匯聚層和接入層這三個(gè)層次。根據(jù)業(yè)務(wù)不同，可將城域網(wǎng)分為接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)及VPN業(yè)務(wù)這三種業(yè)務(wù)方式。而本文就是針對(duì)各層次出現(xiàn)的不同問(wèn)題，進(jìn)行分析討論，并提出相關(guān)建議。

1 城域網(wǎng)的概念分析

根據(jù)網(wǎng)絡(luò)功能的不同，可將城域網(wǎng)分為核心層、匯聚層及接入層這三個(gè)層面，同時(shí)因?yàn)楦鲗拥墓δ懿灰粯?，所以各層網(wǎng)絡(luò)安全問(wèn)題均不一樣。核心層存在的目的就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行快速轉(zhuǎn)換，促使核心設(shè)備正常操作；匯聚層的主要工作就是保護(hù)整個(gè)網(wǎng)絡(luò)的安全運(yùn)行，并利用合理有效的方案管理網(wǎng)絡(luò)，是整個(gè)城域網(wǎng)中的重中之重；而接入層則是通過(guò)對(duì)接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入，以降低網(wǎng)絡(luò)使用者對(duì)網(wǎng)絡(luò)造成的危害。利用有效的監(jiān)控手段調(diào)整網(wǎng)絡(luò)安全，以達(dá)到網(wǎng)絡(luò)優(yōu)化的目的。

2 網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)對(duì)城域網(wǎng)發(fā)展的作用

2.1核心層的網(wǎng)絡(luò)安全

城域網(wǎng)中的核心層，是決定網(wǎng)絡(luò)數(shù)據(jù)能否正?？焖俳粨Q的重要層次，且這一層次與多個(gè)匯聚層相連接，通過(guò)該層次與多個(gè)匯聚層進(jìn)行連接，以達(dá)到網(wǎng)絡(luò)數(shù)據(jù)間的高效轉(zhuǎn)換，所以為了確保網(wǎng)路的正常運(yùn)行，對(duì)該層次進(jìn)行網(wǎng)絡(luò)保護(hù)是比不可少的部分，增加該層的保護(hù)功能。核心層的網(wǎng)絡(luò)安全主要考慮的問(wèn)題是防止病毒入侵設(shè)備，而降低設(shè)備的操作性能，因此則需要對(duì)路由器這一網(wǎng)絡(luò)互連、數(shù)據(jù)轉(zhuǎn)發(fā)及網(wǎng)絡(luò)的管理器進(jìn)行正確操作，以確保網(wǎng)絡(luò)使用更安全。因此則需要做到以下兩點(diǎn)措施。第一點(diǎn)是在路由器之間的協(xié)議添加認(rèn)證功能。就目前而言，動(dòng)態(tài)路由器是核心層與匯聚層連接之間采取最多的連接設(shè)備，現(xiàn)常用的動(dòng)態(tài)路由器主要分為OSPF、IS-IS、BGP這三種。而動(dòng)態(tài)路由器的缺點(diǎn)是路由器動(dòng)態(tài)設(shè)置會(huì)隨著網(wǎng)絡(luò)的拓展而改變，會(huì)對(duì)路由表進(jìn)行自動(dòng)更新，如果相同設(shè)置的路由器設(shè)備加入網(wǎng)絡(luò)，該路由器會(huì)自動(dòng)更改為網(wǎng)絡(luò)上的路由設(shè)置，這樣的行為可能導(dǎo)致網(wǎng)絡(luò)信息的外漏，嚴(yán)重的時(shí)候，會(huì)阻礙網(wǎng)絡(luò)上的路由表正常運(yùn)行，導(dǎo)致網(wǎng)絡(luò)崩潰。為了有效解決相關(guān)問(wèn)題的出現(xiàn)，則需要在路由器設(shè)置中添加身份認(rèn)證，只有通過(guò)身份上的認(rèn)證，同區(qū)域的路由器才能互相分享路由表上的信息，以此保護(hù)網(wǎng)絡(luò)安全。第二點(diǎn)則是遵循最小化服務(wù)的原則，關(guān)閉網(wǎng)路設(shè)備上不需要的服務(wù)。對(duì)此則需要做到以下幾點(diǎn)：（1）保證遠(yuǎn)程訪問(wèn)管理的安全，在路由器信息進(jìn)行加密保護(hù)，防止外界惡意訪問(wèn)的攻擊；（2）端口限制訪問(wèn)，通過(guò)使用ACL端口進(jìn)行訪問(wèn)限制，在設(shè)備接口上添加數(shù)據(jù)訪問(wèn)限制，增加網(wǎng)絡(luò)信息過(guò)濾系統(tǒng)，減少網(wǎng)絡(luò)病毒帶來(lái)的路由器資源耗損，防止網(wǎng)絡(luò)病毒入侵，促使網(wǎng)絡(luò)系統(tǒng)崩潰；（3）增強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的檢查控制，目前采用最多的是SNMP V3協(xié)議進(jìn)行網(wǎng)絡(luò)信息加密保護(hù)，在利用ACL控制SNMP訪問(wèn)，只允許訪問(wèn)設(shè)備信息，禁止復(fù)制設(shè)備信息，以有效檢查控制網(wǎng)絡(luò)運(yùn)行情況；（4）禁止使用路由器不需要的服務(wù)，路由器主要分為軟件和硬件的轉(zhuǎn)發(fā)方式，轉(zhuǎn)件轉(zhuǎn)發(fā)的路由器是通過(guò)CPU軟件技術(shù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的，也就是利用核心技術(shù)進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)，而硬件轉(zhuǎn)發(fā)的路由器時(shí)通過(guò)網(wǎng)絡(luò)上的硬件處理器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的，所以使用正確的路由器服務(wù)，減少不需要的服務(wù)，促進(jìn)路由器高速運(yùn)行。

2.2匯聚層的網(wǎng)絡(luò)安全

匯聚層是保護(hù)網(wǎng)絡(luò)安全運(yùn)行的重要層次，通過(guò)合理有效的方式管理網(wǎng)絡(luò)，可以作為城域網(wǎng)中的管理層。為保證匯聚層能安全正常的操作，從接入網(wǎng)設(shè)備和各種類型用戶這兩方面進(jìn)行分析，需要做到以下幾點(diǎn)。

第一點(diǎn)是接入網(wǎng)設(shè)備的安全，利用ACL控制接入網(wǎng)設(shè)備的訪問(wèn)，增加對(duì)匯聚層端口的檢查控制，以達(dá)到對(duì)連接匯聚層的接入網(wǎng)設(shè)備的控制，確保接入網(wǎng)設(shè)備的安全。

第二點(diǎn)是寬帶小區(qū)設(shè)備的安全，為確保寬帶小區(qū)網(wǎng)絡(luò)設(shè)備的正常安全運(yùn)行，需要采取以下幾點(diǎn)措施：（1）調(diào)整BAS的部署方案，將BAS邊緣化，對(duì)VLAN設(shè)置下的用戶數(shù)量加以控制，降低網(wǎng)絡(luò)危害的出現(xiàn)，優(yōu)化網(wǎng)絡(luò)系統(tǒng)，從寬帶接入服務(wù)器中體現(xiàn)出QINQ技術(shù)的特征，減少匯聚層中虛擬局域網(wǎng)的傳播，因此BAS需要采用雙上行的方式保護(hù)網(wǎng)絡(luò)安全；（2）利用 BAS+AAA 驗(yàn)證服務(wù)器檢驗(yàn)網(wǎng)絡(luò)用戶的身份，防止賬號(hào)被盜情況的出現(xiàn)，幫助網(wǎng)絡(luò)用戶準(zhǔn)確定位；（3）綁定PPPOE撥號(hào)用戶對(duì)VLAN、端口及用戶賬號(hào)的設(shè)置，以防非原有用戶對(duì)原有網(wǎng)絡(luò)用的賬號(hào)和密碼進(jìn)行盜取使用，同時(shí)也可以對(duì)上網(wǎng)用戶位置進(jìn)行準(zhǔn)確定位；（4）為了防止用戶賬號(hào)出現(xiàn)非法共享和漫游資費(fèi)的情況，需要寬帶接入服務(wù)器和個(gè)人用戶賬號(hào)在 radius 設(shè)備中進(jìn)行圈定；（5）依據(jù)BAS的內(nèi)存和實(shí)際情況決定保留流量數(shù)據(jù)的多少，并控制使用BAS設(shè)備的用戶數(shù)量，以保證網(wǎng)絡(luò)安全正常的運(yùn)行。

第三點(diǎn)是從寬帶專線用戶方面，采取相關(guān)安全措施，對(duì)此可以做到以下幾點(diǎn)：（1）控制用戶端口連接的數(shù)量，以防止外界危害的入侵；（2）圈定使用用戶的基本信息，確定網(wǎng)絡(luò)用戶的位置，阻止非法網(wǎng)頁(yè)的入侵；（3）設(shè)置ACL設(shè)備的控制列表信息，通過(guò)對(duì)外界網(wǎng)頁(yè)進(jìn)行多層次的過(guò)濾，減少對(duì)網(wǎng)絡(luò)設(shè)備的危害，并阻止危害網(wǎng)頁(yè)消息的出現(xiàn)，確保網(wǎng)絡(luò)更安全。

2.3接入層的網(wǎng)絡(luò)安全

通過(guò)對(duì)接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入，以降低網(wǎng)絡(luò)使用者對(duì)網(wǎng)絡(luò)造成的危害。其主要連接方式是XDSL、LAN 和 WLAN 這三種，從用戶的網(wǎng)絡(luò)安全進(jìn)行分析，得出以下兩點(diǎn)措施。一方面是阻止側(cè)用戶端口的接入，利用物理隔離和邏輯隔離這兩種方式進(jìn)行網(wǎng)絡(luò)隔離。其物理隔離主要使用的是單主板安全隔離計(jì)算機(jī)和隔離卡技術(shù)這兩種隔離方式，以確保內(nèi)部網(wǎng)絡(luò)不直接或間接與公共網(wǎng)絡(luò)進(jìn)行連接，以此達(dá)到真正隔離的目的；而邏輯隔離則是采用虛擬局域網(wǎng)、訪問(wèn)控制、虛擬專用網(wǎng)、端口綁定等手段進(jìn)行個(gè)人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)間的有效隔離。通過(guò)以上兩種隔離手段，有效保護(hù)個(gè)人網(wǎng)絡(luò)賬號(hào)信息的安全，以防外界用戶對(duì)原用戶的干擾。另一方面則是對(duì)用戶寬帶的流量加以控制，利用完整的軟件應(yīng)用能力和充足的流量管理經(jīng)驗(yàn)，以達(dá)到完善用戶網(wǎng)絡(luò)的目的，促使接入層網(wǎng)絡(luò)更安全。

3 網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)實(shí)行策略

根據(jù)城域網(wǎng)中各層次的特點(diǎn)，從不同方面分析城域網(wǎng)運(yùn)行過(guò)程中出現(xiàn)的問(wèn)題，采取不同的優(yōu)化措施，制定合理有效的優(yōu)化策略，嚴(yán)格管理控制網(wǎng)絡(luò)數(shù)據(jù)和信息傳送，促進(jìn)城域網(wǎng)安全穩(wěn)定的發(fā)展，并利用有效的控制手段優(yōu)化網(wǎng)絡(luò)信息，以確保網(wǎng)絡(luò)正常安全的運(yùn)行。除此之外，還需要網(wǎng)絡(luò)用戶對(duì)個(gè)人路由器信息進(jìn)行認(rèn)真設(shè)置，使用更高級(jí)的賬號(hào)登錄密碼，防止網(wǎng)絡(luò)病毒的入侵，導(dǎo)致自身網(wǎng)絡(luò)系統(tǒng)癱瘓，使用正確的路由器服務(wù)，有利于網(wǎng)絡(luò)安全平穩(wěn)的運(yùn)行。

4 總結(jié)

綜上所述，根據(jù)城域網(wǎng)各層次出現(xiàn)的網(wǎng)絡(luò)安全均不同和網(wǎng)絡(luò)所承接業(yè)務(wù)的不同，我們應(yīng)采取合適解決問(wèn)題的安全技術(shù)方案，改善城域網(wǎng)在各階段的不足之處。在網(wǎng)絡(luò)安全技術(shù)實(shí)行過(guò)程中，需要全面考慮到網(wǎng)絡(luò)各方面的應(yīng)用，制定合理有效的安全技術(shù)方案，利用合理的安全防護(hù)技術(shù)，改善城域網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中出現(xiàn)的不足之處，只有確保城域網(wǎng)的整體安全，才能達(dá)到全面完善網(wǎng)絡(luò)系統(tǒng)，從而促進(jìn)城域網(wǎng)健康穩(wěn)定的發(fā)展的目的。

[1]龔儉，陸晟，王倩.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論(第1版)[M].東南大學(xué)出版社，2000.

[2]李逢天.網(wǎng)絡(luò)運(yùn)營(yíng)中的網(wǎng)絡(luò)安全問(wèn)題及解決思路[J].電信技術(shù)，2002.

[3]楊建紅.計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策[J].長(zhǎng)沙鐵道學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版) ，2005.

[4]劉建偉.企業(yè)網(wǎng)絡(luò)安全問(wèn)題探討[J].甘肅科技，2006.

[5]吳長(zhǎng)虹.城域網(wǎng)網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)研究[J].信息通信，2012.