ＩＰ寬帶城域網安全與實施

劉　惠

摘要：隨著網絡技術的發展演變，IP寬帶城域網已成為寬帶網絡的發展方向，各種信息化應用都將基于IP技術。本文在分析目前IP寬帶城域網在安全應用與管理方面存在問題的基礎上，從設備安全、結構安全、應用安全三個方面闡述了如何保障網絡的安全性和運行質量,從而構件一個“可控制、可管理、可經營”的電信級IP寬帶城域網，為各種信息化應用提供一個安全可信的基礎點心網絡平臺。

關鍵字：設備安全；結構安全；應用安全

經過了數年市場變遷，當前我國IP城域網又面臨著一個新的發展階段。對IP城域網的需求已經從簡單的高帶寬，轉向可提供高質量、多業務、高可靠性不間斷通信的方向發展。因此，作為網絡質量的基礎之一，網絡安全問題已越來越受到運營商的重視。同時，在一些特殊的行業應用中，例如銀行、公安、支付、企業互聯互通等，IP網絡的安全性、保密性又被作為一種對實際業務的要求而提出，也促進了IP城域網網絡安全技術的發展。

1 城域網網絡架構與安全現狀

IP城域網的網絡架構分為三個層次：網絡核心層、網絡匯聚層、寬帶接入層，網絡的各個層次承擔了不同的功能。根據城域網不同網絡層次的不同功能，每個層次都有不同的特點，面臨不同的安全問題。核心層網絡主要面臨的安全問題是路由的安全及核心層設備自身受攻擊的問題;匯聚層網絡主要面臨的安全問題是路由的安全、各種異常流量的抑制、用戶業務的安全，以及用戶訪問的控制;接入層網絡主要由一些二層接入設備構成，其主要面臨的安全問題是一些基于二層協議的用戶攻擊行為和廣播風暴的抑制等。

2 IP城域網網絡安全模型

對于寬帶IP網絡運營商而言，寬帶城域網包括基礎承載網絡和運營支撐平臺兩個部分。城域承載網是城域網業務接入、匯聚和交換的物理核心網，它由核心交換層、邊緣匯聚層、綜合接入層構成。運營支撐平臺由業務支撐平臺、網管平臺、認證計費平臺等組成。針對IP城域網承載網絡部分面臨的安全問題的特點，從設備安全、結構安全、應用安全來控制網絡中的安全風險。對于城域網運營支撐平臺，我們將采用分區域的安全模型，將支撐平臺劃分成三個區域：信任域、非信任域和隔離區域。信任域是寬帶運營商的基礎網絡，通常采用防火墻等設備與電信業務承載網隔離，包括網管平臺、智能業務平臺、認證平臺等設備;隔離區域是信任域和非信任域之間進行數據交互的平臺，包括電信運營商提供的各種業務平臺，如Web服務平臺、FTP服務器、用戶查詢平臺、Mail服務器等;非信任域是運營商面對客戶的基礎網絡，它直接提供用戶的接入和業務，同時也是Internet網絡的一部分，包括基礎用戶接入、數據交換、媒體網關等設備，是運營商不能完全控制的網絡。非信任域的基礎網絡是信息傳輸的基礎，在城域網中起著至關重要的作用，作為安全模型中的非信任域，需要重點考慮。

3 城域網網絡結構安全

網絡結構安全是指網絡在結構設計上保證不會出現單點失效，主要由網絡拓撲結構的設計、網絡協議的選用等等來保證。

在城域網網絡中，注重鏈路的備份和冗余，尤其在核心層和匯聚層，匯聚層的路由交換機以兩條鏈路連接到兩臺骨干路由器上，通過運行動態路由協議OSPF協議實現鏈路的冗余備份和自動倒換，避免了由于鏈路故障導致網絡服務中斷。采用虛擬局域網VLAN主要出于三個目的：用戶隔離、提高網絡效率；提供靈活的管理；提高系統安全性。因此，規劃VLAN時也綜合考慮這三方面的因素。接入層設備為支持VLAN功能，為了進行不同用戶間的有效隔離和互聯，需要利用交換機對用戶進行不同的VLAN劃分。具體做法可以是將交換機的每一端口劃分一個VLAN以實現所有用戶間的二層隔離，此時如果需要互聯，可通過上連設備的ACL功能來控制；也可以根據需要將多個交換機的不同端口劃為同一個VLAN，直接實現有限制的用戶互聯。

4 城域網網絡應用安全

4.1 黑客攻擊的防范

黑客攻擊的手段多種多樣，其中對電信級IP城域網危害最大的就是DOS攻擊， DOS攻擊是目前一種較為普遍的攻擊手段，黑客通過對目標主機或服務器建立大量的連接，使網絡中的路由器和服務器處理不過來，或將某條鏈路阻塞，造成正常的用戶無法訪問。針對外面網絡的攻擊，我們需要從上聯側的路由器/交換機協同工作，做出正確的配置（如避免轉發廣播到內部網絡），利用交換機控制SYN/ICMP包數量，利用路由器的采樣和防止NOC/地址欺騙功能。黑客攻擊是網絡應用安全的重點，但并不是全部。網絡應用安全還應該包括對網絡內部不同用戶權限的外部訪問控制。

4.2 用戶認證安全

在IP城域網安全部署實施中，主要在以下幾個方面實現對用戶有效的管理和控制： 通過PPPOE、DHCP+WEB、802.1X等多種認證方式,實現對各種接入用戶和接入業務的接入認證功能；通過VLAN ID和PVC ID唯一標識每個用戶以及其物理定位；對用戶名、地址、VLAN或PVC等屬性進行綁定，防止用戶帳號、IP地址被仿冒或盜用；限制一個用戶、一個VLAN或PVC只能申請有限的IP地址，防止用戶惡意申請IP地址。

5 城域網網絡安全控制

為實現整個IP城域網網絡的安全性，必須在城域網核心路由器、路由交換機、寬帶接入服務器等設備采取多種安全控制機制。具體的手段如下：

防火墻（Stateful Firewall）

為了實現對用戶安全更有效的保證，單純的訪問列表并不能實現流量的動態跟蹤，在IP城域網安全部署實施中還要部署狀態防火墻，狀態防火墻是一般包過濾結構的一種改進型的擴展。狀態防火墻在網絡層有一個檢查引擎截獲數據包并抽取出與應用層狀態有關的信息，并以此為依據決定對該連接是接受還是拒絕。

安全ARP

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊主要是存在于網絡中，當網絡中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過"ARP欺騙"手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。 針對此類問題需要引入了安全化的ARP。

6 未來城域網安全防護趨勢

一方面，隨著WLAN技術在城域網接入環節的興起，關于無線接入的用戶隔離技術以及針對WLAN接入的網絡安全防護，將成為城域網中的重要發展方向。由于WLAN技術自身在安全方面的缺陷，導致用戶不能有效隔離和用戶接入網絡易受攻擊。現在已經有多種技術可以彌補WLAN技術在安全方面的缺陷，如：可以采用AP隔離、AP與用戶IP/MAC地址綁定、WEP加密技術、WPA接入保護、Portal+Radius認證等技術手段來提升WLAN網絡的安全特性。另一方面，隨著僵尸網絡的產生和網絡攻擊行為的復雜化，未來網絡中的黑客攻擊將成為越來越突出的安全問題。對比之下，傳統的IP城域網對于這些黑客的攻擊行為的識別、抵御和防范存在明顯的不足，因此，為了抵御日趨復雜的攻擊行為，必須對城域網的防攻擊能力有一個完整的規劃，首先我們應該建立一個蜜網系統，利用該系統可以從網絡中獲取實際的病毒數據和攻擊行為樣本，通過分析可以及時掌握網絡中存在的僵尸系統和其指令集，并可以在網絡防火墻上指定有針對性的防御策略;其次，我們應該采用一些集成的攻擊防御平臺，在網絡設備和運營支撐平臺上采用多種防御手段相結合的策略，抵御網絡上的攻擊行為。

參考文獻

[1]電信級IP信息網絡的構建.人民郵電出版社.

[2]寬帶IP城域網的路由設計與實現.計算機工程與應用

[3]DOS攻擊技術及其防范.計算機安全.

[4]Ethernet的ARP欺騙原理及防御.網絡完全技術與應用

作者簡介：劉惠，女，1969年出生，2007年畢業于吉林大學通信工程專業，中國聯合網絡通信有限公司七臺河市分公司網絡管理中心副經理。