張靳松 鄭曉梅

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司唐山市分公司

IP城域網(wǎng)的網(wǎng)絡(luò)安全及其實(shí)施策略

張靳松 鄭曉梅

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司唐山市分公司

由于技術(shù)和專業(yè)的限制，IP城域網(wǎng)建設(shè)初期網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，設(shè)備性能有限的，可提供用戶使用的業(yè)務(wù)類型較少。運(yùn)營(yíng)商長(zhǎng)期處于鋪網(wǎng)、圈地的狀態(tài)，較少關(guān)注網(wǎng)絡(luò)安全性。隨著寬帶提速、光網(wǎng)城市的推進(jìn)，用戶規(guī)模越來(lái)越大，原有網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備性能的一些弊端逐漸顯現(xiàn)出來(lái)，IP城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)越來(lái)越大，網(wǎng)絡(luò)安全問(wèn)題正逐步成為影響網(wǎng)絡(luò)正常運(yùn)行、業(yè)務(wù)順利發(fā)展的重要因素。本文主要對(duì)IP城域網(wǎng)網(wǎng)絡(luò)安全及其實(shí)施策略進(jìn)行分析和探討。

IP城域網(wǎng)；網(wǎng)絡(luò)安全；實(shí)施策略

1 城域網(wǎng)的論述

城域網(wǎng)英文簡(jiǎn)稱MAN，通常使用一種與LAN相似的應(yīng)用技術(shù)，后來(lái)人們將其從LAN中單獨(dú)列了出來(lái)。IP城域網(wǎng)具有覆蓋面廣和靈活性強(qiáng)的特點(diǎn)。城域網(wǎng)就是指在城市范圍內(nèi)，以ATM和IP電信技術(shù)為基礎(chǔ)，以光纖作為傳輸媒介，集數(shù)據(jù)、語(yǔ)音和視頻服務(wù)于一體的高寬帶多功能的多媒體通信網(wǎng)絡(luò)。通常將城域網(wǎng)分為三個(gè)層次：核心層、匯聚層和接入層。①核心層主要提供高寬帶的業(yè)務(wù)傳輸，完成已有網(wǎng)絡(luò)的互相連通，其特征為寬帶傳輸。②匯聚層的主要功能是給業(yè)務(wù)接入點(diǎn)提供用戶業(yè)務(wù)數(shù)據(jù)的匯聚和發(fā)散處理，同時(shí)實(shí)現(xiàn)業(yè)務(wù)的服務(wù)等級(jí)之間的分類。③接入層具有多種接入技術(shù)，能夠進(jìn)行寬帶和業(yè)務(wù)分配，實(shí)現(xiàn)用戶的技術(shù)接入，完成接入點(diǎn)的復(fù)用和傳輸工作。傳統(tǒng)意義上來(lái)講，IP城域網(wǎng)滾動(dòng)規(guī)劃的突出部分在于如何處理好寬帶業(yè)務(wù)的規(guī)劃建設(shè)，做好城域網(wǎng)骨干網(wǎng)的保護(hù)工作。

2 IP城域網(wǎng)所面臨的安全威脅

2.1 IP地址欺騙攻擊

這種網(wǎng)絡(luò)攻擊又稱為身份欺騙，攻擊者一般是利用真實(shí)有效的IP地址，將其偽裝成其他用戶，并發(fā)送某些特定的報(bào)文來(lái)對(duì)正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行干擾，或者通過(guò)某些路由報(bào)文來(lái)對(duì)路由信息進(jìn)行更改，以達(dá)到竊取用戶信息的目的。

2.2 應(yīng)用層攻擊

此種攻擊方式的攻擊者通過(guò)在服務(wù)器的應(yīng)用系統(tǒng)或者操作系統(tǒng)中設(shè)置后門，利用該后門攻擊者能夠繞過(guò)正常的訪問(wèn)從而對(duì)系統(tǒng)進(jìn)行控制。這種攻擊目標(biāo)直接對(duì)準(zhǔn)應(yīng)用層服務(wù)器的攻擊方式，其攻擊者往往就是那些設(shè)計(jì)應(yīng)用層系統(tǒng)軟件的程序員。特洛伊木馬攻擊就是一個(gè)典型的應(yīng)用層攻擊范例。

2.3 DDOS攻擊

DDOS攻擊目前處于上升趨勢(shì)，攻擊者通過(guò)大量報(bào)文的發(fā)送來(lái)對(duì)用戶有限的帶寬進(jìn)行消耗，從而阻止用戶對(duì)網(wǎng)絡(luò)資源正常訪問(wèn)和使用，這種攻擊已經(jīng)成為IP城域網(wǎng)安全管理的重要威脅。①PING報(bào)文攻擊。通過(guò)發(fā)送大量PING報(bào)文來(lái)占據(jù)用戶的帶寬使得系統(tǒng)無(wú)法對(duì)用戶正常的業(yè)務(wù)需求進(jìn)行處理。②SMURF攻擊。通過(guò)將要攻擊的主機(jī)地址作為源地址在網(wǎng)絡(luò)進(jìn)行傳播，使得許多系統(tǒng)對(duì)其響應(yīng)并發(fā)送大量信息給所攻擊的主機(jī)。③SYN洪水攻擊。通過(guò)利用TCP協(xié)議的漏洞來(lái)進(jìn)行攻擊，不僅難以處理，也會(huì)造成較大的危害，由于SYN洪水攻擊而導(dǎo)致網(wǎng)站癱瘓的案例比比皆是。

3 網(wǎng)絡(luò)安全的實(shí)施措施方案研究

3.1 提升網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?/p>

在寬帶網(wǎng)絡(luò)當(dāng)中，一般的來(lái)講是將主干網(wǎng)絡(luò)當(dāng)成是安全的網(wǎng)絡(luò)，而主要的威脅，一般都是來(lái)源于傳統(tǒng)的以太網(wǎng)絡(luò)當(dāng)中。網(wǎng)絡(luò)的分段，是一種控制網(wǎng)絡(luò)廣播風(fēng)暴的主要技術(shù)手段，也是全面的保證網(wǎng)絡(luò)安全的主要方案措施，通過(guò)路由器以及交換機(jī)等將網(wǎng)絡(luò)進(jìn)行分段，并且使得單播包僅僅在兩個(gè)有限的節(jié)點(diǎn)當(dāng)中進(jìn)行數(shù)據(jù)的傳輸，達(dá)到防止網(wǎng)絡(luò)威脅、降低安全隱患的目的和效果。劃分VLAN，則是將不同的用戶之間存在的二層交換設(shè)備進(jìn)行隔離，通過(guò)這樣的方式，只能夠通過(guò)廣播，才能夠?qū)嵤┑墓艏夹g(shù)手段將難以通過(guò)此種類型的端口對(duì)其他用戶進(jìn)行攻擊。最后則是使用VPN，其可以在公用IP網(wǎng)絡(luò)之上建立一個(gè)邏輯點(diǎn)，并且建立出相應(yīng)的隧道，運(yùn)用加密技術(shù)，通過(guò)隧道傳輸數(shù)據(jù)并且對(duì)此數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全性以及數(shù)據(jù)的私有性。

3.2 使用嚴(yán)格的用戶接入認(rèn)證措施方案

這一點(diǎn)是全面的保證網(wǎng)絡(luò)安全性的重要措施。使用嚴(yán)格的用戶接入認(rèn)證技術(shù)措施，采用基于用戶的訪問(wèn)控制技術(shù)，則可以達(dá)到全面升級(jí)網(wǎng)絡(luò)安全的目的和效果?，F(xiàn)階段所使用的認(rèn)證方式有三種，其各自具有優(yōu)點(diǎn)和缺點(diǎn)，需要根據(jù)網(wǎng)絡(luò)的實(shí)際情況以及各項(xiàng)技術(shù)的特征，綜合性的考慮分析并且擬定最終的方案。

3.3 保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施

保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施也是一項(xiàng)提升網(wǎng)絡(luò)安全性的重要手段。首先，需要保證管理接口的安全化，其次，還需要加強(qiáng)賬戶以及密碼等的管理，采用集中認(rèn)證的方式，對(duì)其進(jìn)行改進(jìn)和完善。同時(shí)，關(guān)閉網(wǎng)絡(luò)當(dāng)中不使用的功能，諸如關(guān)閉ARP代理服務(wù)功能等，來(lái)達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的和效果。最后，則是保護(hù)設(shè)備的物理安全，在網(wǎng)絡(luò)之上的每一個(gè)設(shè)備，都需要制定一個(gè)詳細(xì)的物理安全措施，進(jìn)而保證一系列安全策略的開(kāi)展，并且提高接入層交換機(jī)設(shè)備的安全性，在交換機(jī)之上的安全管理，使用來(lái)進(jìn)行未授權(quán)訪問(wèn)的控制和管理，來(lái)進(jìn)一步的提高網(wǎng)絡(luò)的安全以及運(yùn)行工作的可靠性，達(dá)到最終的安全效果。

3.4 安全檢測(cè)與實(shí)時(shí)監(jiān)控

安全檢測(cè)主要包括系統(tǒng)自身的漏洞檢測(cè)、外部入侵檢測(cè)和病毒檢測(cè)。漏洞檢測(cè)應(yīng)該定期進(jìn)行，當(dāng)系統(tǒng)發(fā)生變化，如安裝新軟件之后也應(yīng)該進(jìn)行漏洞檢測(cè)。入侵檢測(cè)是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。應(yīng)該在關(guān)鍵的服務(wù)器(如Radius)上安裝入侵檢測(cè)代理，并將入侵行為記錄進(jìn)系統(tǒng)的日志，日后進(jìn)行分析。病毒同樣會(huì)給系統(tǒng)帶來(lái)安全威脅，所以病毒檢測(cè)也是系統(tǒng)必須長(zhǎng)期進(jìn)行的日常維護(hù)工作。實(shí)時(shí)監(jiān)控是一種入侵檢測(cè)機(jī)制，它的功能包括確認(rèn)或查驗(yàn)安全策略的正確實(shí)施及實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的異?，F(xiàn)象。

結(jié)語(yǔ)

在寬帶IP城域網(wǎng)的建設(shè)中，特別是網(wǎng)絡(luò)建設(shè)初期，由于發(fā)展業(yè)務(wù)的迫切需要，往往因?qū)W(wǎng)絡(luò)的安全性不夠重視而缺乏必要的安全管理。但是，隨著用戶數(shù)的增加和用戶業(yè)務(wù)種類的不斷增多，運(yùn)營(yíng)商和用戶將越來(lái)越重視網(wǎng)絡(luò)和信息的安全性。因此，認(rèn)清網(wǎng)絡(luò)存在的安全問(wèn)題和潛在威脅，采取相應(yīng)的技術(shù)措施和安全管理策略，對(duì)于保障網(wǎng)絡(luò)的安全十分重要。

[1]楊儉.IP城域網(wǎng)路由協(xié)議改進(jìn)的平穩(wěn)過(guò)渡研究[D].吉林大學(xué)，2013.

[2]林浩.IP城域網(wǎng)本地優(yōu)化及保護(hù)策略探討[J].電信科學(xué)，2014，S1：141-147.