|
摘要:随着IP技术的不断发展应用,对于通信运营商而言,IP城域网网络安全越来越重要。本文对IP城域网网络安全进行分析,并对防护网络安全的流量过滤技术进行阐述。
【关键词】:IP城域网 流量过滤
中图分类号:TN 文献标识码:A 文章编号:1001-941 (2012)12-0253-02
1、IP城域网的网络安全分析
1.1 IP城域网安全概况
IP城域网的安全风险主要在于网络设备或宽带用户遭受攻击、网络病毒恶意传播引发的网络流量突增对网络及设备性能的冲击,以及相关业务的数据库服务器受到病毒感染、恶意攻击导致的业务无法正常运行。由于互联网与生俱有的开放性、交互性和分散性特征,使IP城域网不可避免的面临此类风险。因此运营商网络安全设计考虑的重点和企业网络不同,网络的管理难度大,安全管理制度实施困难,安全建设要更多地采用技术来确保网络和设备安全,并以用户管理作为辅助手段。
1.2 IP城域网网络架构
从物理架构来看,IP城域网的传统网络架构一般分为三个层次:核心层、汇聚层、接入层,随着网络的不断发展此种结构也逐步向着扁平化的趋势演进,形成了只有二个层次的网络架构:核心层、接入层。网络的各个层次根据其所在层次的不同承担了不同的功能,每个层次都有不同的特点,面临不同的安全问题。核心层主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。
从业务方面来看,IP城域网所承载的业务已由传统的宽带业务发展为多种综合业务。目前IP城域网承载的业务主要有:LAN专线接入业务;PPPoE方式接入的上网业务;基于DHCP Option82方式的新兴业务,例如IPTV;基于IP的增值业务,例如全球眼;新兴的WLAN业务;固网及移动网的语音业务;移动网3G业务等。这些业务对安全方面的要求各不相同,LAN专线主要的安全问题是用户接入控制;PPPoE宽带主要是用户账号盗用;IPTV的主要问题是DHCP用户认证方式的安全性;全球眼主要的问题是安全隔离;WLAN主要是无线接入用户隔离和用户账号盗用;固网及移动网语音业务主要问题是网络质量及安全隔离;移动网3G业务主要是用户接入控制。
1.3 IP城域网网络安全分析
1.3.1 IP城域网核心层安全
核心层主要担负着网络核心承载功能,其由核心路由节点构成,将多个汇聚层节点连接在一起,进行高速的数据转发,实现和全国骨干网络节点互联。由于核心层节点的重要性其必须充分保证网络的连通性,提供充足的网络链路冗余,高效的转发处理能力,稳定的运行能力。威胁城域网核心层安全的风险主要表现为核心设备遭受攻击或病毒攻击引发网络流量激增,进而对设备性能产生冲击。
核心层设备需要采用一些安全策略,保障网络的安全、可靠,其对安全性能的需求包括:
采用无阻塞交换的路由器或交换机设备; 采用逐包转发、分布处理、Wred等QoS技术,避免流Cache模型造成系统崩溃;节点关键设备冗余备份,系统出现软硬件故障时,可迅速转换到备用模块;在重要的核心节点,采用一些双IOS系统的网络设备,在设备主用软件系统产生故障时,可以自动倒换到备用的软件系统上,保证设备转发不中断;实现路由认证,保证路由协议安全;网络设备采用多极安全密码体系,通过访问控制限制非法设备和用户登录;支持SNMPV3,通过ACL限制SNMP访问的源地址;采用ACL策略,过滤流向引擎板卡的垃圾流量,保证设备核心的安全;采用如Netflow等流量监控手段,监测异常流量。
1.3.2 IP城域网汇聚层安全
汇聚层功能是负责汇聚各个接入层节点进行数据转发,提供对接入层的流量控制和用户管理功能。汇聚层设备是用户管理的基本设备,也是确保城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。从长远看,BRAS设备也必须考虑用户的安全防护措施。怎么提供病毒防治、集中安全管理和升级等手段,将成为提高通信网络安全的关键。
汇聚层设备对安全性能的需求包括:
用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;确保接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址和MAC地址、卡号绑定,能够准确定位用户,并可提供追查恶意用户的手段;支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击;支持访问控制列表(ACL),包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护,及禁止部分用户访问或有选择地屏蔽网络服务;可实现对用户带宽的控制CAR;
1.3.3 IP城域网接入层安全
接入层功能主要是通过一些二三层交换机、DSLAM设备、EPON设备、无线设备等,通过各种接入技术和线路资源实现用户覆盖接入,提供用户接入,并对用户进行流量控制。
接入层设备对安全性能的需求包括:
控制用户流量带宽;接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址与MAC地址、卡号绑定,能够准确定位用户,并可提供追查恶意用户的手段;在LAN接入方面,还要采用一些端口检测的措施,防止用户二层环路的发生;采用PortSecurity措施,防止用户的CAM攻击和ARP攻击等。
2、IP城域网流量过滤技术
威胁IP城域网网络安全的主要因素就是病毒或网络攻击引起的流量激增,如何对IP城域网的异常流量进行过滤,成为了保障IP城域网网络安全的重要手段之一。城域网流量的安全过滤需要依赖专业的安全过滤设备以及相关的监控设备,根据安全过滤设备部署的位置,城域网流量的安全过滤主要可以分为两种方式:旁路方式和串接方式。
2.1 旁路方式
旁路方式是将流量清洗设备旁挂在城域网核心层,同时将流量监控设备旁挂在城域网汇聚层对汇聚层流量进行监控。当流量无异常时,从核心层至汇聚层的流量不经过流量清洗设备。当流量监控设备发现汇聚层流量出现异常时,由其通知流量清洗设备,并由流量清洗设备向网络发布流量重定向的路由公告,将异常流量牵引至流量清洗设备,由其对异常流量进行安全过滤后,再把正常流量转发至汇聚层,实现流量过滤。而其他正常流量则不受影响,仍使用原路由。当异常流量消失后,再公告恢复原路由,使流量恢复原正常路由。其网络结构如(图1)所示:
路方式的主要优点是不会因为安全过滤设备故障而导致的网络不通,对业务无任何影响,避免网络故障点的增加。其只对异常流量进行过滤清洗,无需对全部流量进行处理,避免了由于安全过滤设备的性能原因影响网络转发能力,从而有效避免了网络延时增加、丢包、传输性能下降的问题。但由于需要通过流量监控设备检测,因此需要对核心层至汇聚层流量进行分光,监控设备需要与汇聚层每台设备进行互联,占用资源。同时由于需要先检测,发现流量异常后才对流量进行牵引过滤,使其对攻击的控制力度较弱,对攻击的反映较慢,对于某些实时发生的网络攻击效果不明显。
2.2 串接方式
串接方式是将流量清洗设备串接在城域网核心层与汇聚层之间,网络全部流量都经过流量清洗设备分析过滤,之后再转发至汇聚层。然后再转发至汇聚层。其网络结构如(图2)所示:
串接方式的主要优点是流量实时进行分析过滤,能及时对网络攻击等异常流量进行过滤,对攻击的控制力度强。但由于其串接在网络中,增加了网络的故障点,对流量清洗设备的性能要求较高。如果网络扩容,则需要对流量清洗设备进行相应的扩容,投资成本较高。
3、结语
IP城域网的网络安全是一项长久和艰巨的任务。对于网络安全的问题必须结合各方面情况进行全局考虑,需要进行体系化的整体安全设计和实施。既要充分考虑网络的安全性,又要考虑网络的稳定性;既要利用设备的相关安全特性,又要结合使用专用的安全设备;既要考虑设备安全和技术因素,又要重视网络安全管理人员所起的决定性作用。IP城域网的建设和运营必须全方面建立全方面的安全防护体系,才能向社会提供一个安全、高速、易用、智能化的网络,确保运营商宽带数据业务正常经营。
参考文献
[1]徐国爱,张森,彭俊好.网络安全.北京邮电大学出版社,2001.
[2]李俊民,郭丽艳.网络安全与黑客攻防.电子工业出版社,2010.
转载注明来源:http://www.ybaotk.com |
上一篇:计算机网络技术安全浅谈下一篇:浅谈有线电视网络VOD系统方案的选择
|