小議IP城域網(wǎng)網(wǎng)絡(luò)安全

劉 鐸

摘要 本文從網(wǎng)絡(luò)結(jié)構(gòu)上,簡(jiǎn)要分析目前IP城域網(wǎng)面臨的網(wǎng)絡(luò)安全問(wèn)題及解決的部分措施。

關(guān)鍵詞 城域網(wǎng);匯聚層;接入層;網(wǎng)絡(luò)安全

中圖分類號(hào) TP309文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào)1674-6708(2009)08-0048-02

近年來(lái),隨著社會(huì)信息化進(jìn)程的加快,企業(yè)網(wǎng)絡(luò)化應(yīng)用開始向縱深發(fā)展,各種新舊業(yè)務(wù)和應(yīng)用的需求不斷豐富,進(jìn)而對(duì)網(wǎng)絡(luò)帶寬產(chǎn)生更高的需求。目前,骨干網(wǎng)帶寬已經(jīng)比較豐富,寬帶接入手段多樣化,城域網(wǎng)的安全問(wèn)題作為為用戶服務(wù)的根本顯得越來(lái)越重要。隨著寬帶互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展,在獲得了越來(lái)越多企業(yè)和個(gè)人青睞的同時(shí),網(wǎng)內(nèi)用戶數(shù)越來(lái)越多,用戶類型越來(lái)越復(fù)雜,網(wǎng)絡(luò)安全問(wèn)題開始顯得日益突出,如何把黑客和病毒等拒之于網(wǎng)外,不讓其對(duì)城域網(wǎng)的安全造成隱患也成為了急需解決的問(wèn)題。

IP城域網(wǎng)一般分為3個(gè)層次:核心層、匯聚層和接入層,其中的各個(gè)層次承擔(dān)了不同的功能。根據(jù)不同網(wǎng)絡(luò)層次的不同功能,每個(gè)層次都面臨不同的安全問(wèn)題。核心層主要面臨的安全問(wèn)題是路由的安全及核心層設(shè)備自身受攻擊的問(wèn)題;匯聚層主要面臨的安全問(wèn)題是路由的安全、各種異常流量的抑制、用戶業(yè)務(wù)的安全,以及用戶訪問(wèn)的控制;接入層主要由一些二層接入設(shè)備構(gòu)成,其主要面臨的安全問(wèn)題是一些基于二層協(xié)議的用戶攻擊行為和廣播風(fēng)暴的抑制等。

核心層擔(dān)負(fù)著網(wǎng)絡(luò)核心承載的功能,所以必須充分保證網(wǎng)絡(luò)的連通性和高度的可靠性,提供必須的網(wǎng)絡(luò)冗余功能。在城局網(wǎng)關(guān)鍵的出口鏈路必須具備冗余設(shè)備,多條鏈路連接同時(shí)工作,確保在故障發(fā)生能夠?qū)崿F(xiàn)自動(dòng)愈合,增強(qiáng)對(duì)病毒和黑客的防御力量,使整個(gè)網(wǎng)絡(luò)變得更加穩(wěn)定可靠。另外,核心層設(shè)備還要采用一些安全策略,以保障網(wǎng)絡(luò)的安全可靠,例如:

1)網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系,限制非法設(shè)備和用戶登錄;

2)實(shí)現(xiàn)路由認(rèn)證,保證路由協(xié)議安全,支持SNMP,安全網(wǎng)管;采用訪問(wèn)控制列表策略,過(guò)濾異常流量,保證設(shè)備核心的安全;

3)采用如mrtg等流量監(jiān)控手段,監(jiān)測(cè)異常流量。

匯聚層負(fù)責(zé)匯集分散的接入點(diǎn)進(jìn)行數(shù)據(jù)交換,提供流量控制和用戶管理功能,作為城域網(wǎng)的業(yè)務(wù)提供層面,是城域網(wǎng)最重要的組成部分。匯聚層設(shè)備是用戶管理的基本設(shè)備,也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障,更是保障城域網(wǎng)安全性能的關(guān)鍵。

匯聚層設(shè)備的安全特性主要體現(xiàn)在以下幾點(diǎn):

1)用戶接入網(wǎng)絡(luò)的安全控制,包括加強(qiáng)口令等訪問(wèn)控制手段;

2)調(diào)整BAS的部署策略。進(jìn)行BAS邊緣化,訪問(wèn)控制可以在邊緣BAS上進(jìn)行,如果仍然保持集中方式,可以考慮在BRAS后部署防火墻,可以將原有BAS訪問(wèn)控制功能轉(zhuǎn)移到防火墻后,這樣可以降低BAS負(fù)載及訪問(wèn)控制列表細(xì)化。限制每個(gè)VLAN下的用戶數(shù)量,減少PPP建立過(guò)程中廣播包的廣播范圍,提高網(wǎng)絡(luò)性能,BAS放到邊緣后,VLAN ID數(shù)目受到的限制問(wèn)題也得到了緩解。細(xì)化的三層訪問(wèn)控制在BAS設(shè)備后端的三層設(shè)備上進(jìn)行;

3)部署小容量BAS服務(wù)器,專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)。充分利用寬帶接入服務(wù)器BAS支持802.1q的特性,來(lái)實(shí)現(xiàn)對(duì)不同用戶的服務(wù),減小廣播域,提高城域網(wǎng)的整體性能。在用戶側(cè)部署中小容量的BAS服務(wù)器,可把原來(lái)的超大二層網(wǎng)絡(luò)分成多個(gè)小型的二層網(wǎng)絡(luò),降低管理的難度和復(fù)雜度;將寬帶專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié),這樣可以防止用戶的廣播包對(duì)骨干交換機(jī)的沖擊。基于LAN的專線用戶,通過(guò)專線直接連到網(wǎng)絡(luò)核心,當(dāng)用戶發(fā)起廣播時(shí),就會(huì)使核心網(wǎng)絡(luò)路由表產(chǎn)生波動(dòng),影響核心網(wǎng)絡(luò)設(shè)備的性能,所以建議在匯聚層終結(jié),再把信息上傳到核心層;

4)利用BAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證, AAA綁定一般采用的都是靜態(tài)綁定方式,而動(dòng)態(tài)綁定一般是在接入設(shè)備上實(shí)現(xiàn)的,綁定技術(shù)的有效應(yīng)用,主要用于解決賬號(hào)盜用,用戶定位等問(wèn)題。通過(guò)上述認(rèn)證機(jī)制實(shí)現(xiàn)基于用戶的訪問(wèn)權(quán)限控制、計(jì)費(fèi)和服務(wù)類型控制;

5)對(duì)于DLSAM撥號(hào)用戶可實(shí)現(xiàn)VLAN、端口和用戶賬號(hào)綁定,進(jìn)而防止個(gè)人用戶的帳號(hào)、密碼被盜用,也可確定出用戶上網(wǎng)的位置,為問(wèn)題的解決提供線索;

6)支持限制用戶端口最大接入IP地址數(shù)、PPP會(huì)話數(shù)、TCP/UDP連接數(shù),有效防止DOS類的攻擊;

7)支持訪問(wèn)控制列表,禁止部分用戶訪問(wèn)或有選擇地屏蔽網(wǎng)絡(luò)服務(wù);

8)對(duì)用戶帶寬進(jìn)行控制。

接入層通過(guò)各種接入技術(shù)和線路資源實(shí)現(xiàn)對(duì)用戶區(qū)域的覆蓋,提供多業(yè)務(wù)用戶的接入并配合完成用戶流量帶寬的控制功能。

設(shè)備上采用的安全手段包括:

1)使接入側(cè)用戶相互隔離,以保證接入的安全性,防止用戶間的相互攻擊。由于以太網(wǎng)技術(shù)本身的特點(diǎn),端口隔離的存在是必要的。無(wú)論是物理端口還是邏輯端口,現(xiàn)階段有很多技術(shù)都能實(shí)現(xiàn)端口隔離功能,有的采用物理手段,有的采用邏輯手段。采用物理手段則能實(shí)現(xiàn)完全的隔離功能;邏輯手段一般是基于2層幀結(jié)構(gòu)技術(shù),也比較安全。可以說(shuō),端口隔離是目前一種保護(hù)接入用戶內(nèi)部安全的有效手段。在接入層隔離開用戶之間的訪問(wèn)并不是為了限制用戶的使用,而是要防止用戶之間的攻擊。無(wú)論是針對(duì)哪種用戶,合理而又靈活的利用端口隔離技術(shù)總能有效地控制來(lái)自內(nèi)部、外部用戶之間的安全問(wèn)題。

2)采用一些端口檢測(cè)的措施,防止用戶環(huán)路的發(fā)生。很多用戶不知道環(huán)路帶來(lái)的危害,所以環(huán)路經(jīng)常發(fā)生在缺少專業(yè)技術(shù)人員維護(hù)的網(wǎng)絡(luò)中。越是接近用戶的設(shè)備檢測(cè)周期越應(yīng)該短一些,上層設(shè)備的檢測(cè)周期應(yīng)該長(zhǎng)一些。這樣就能減少一些因?yàn)樯蠈釉O(shè)備先檢測(cè)到環(huán)路禁用端口造成下層整個(gè)交換機(jī)用戶都被斷掉的可能。

在城域網(wǎng)設(shè)計(jì)、建設(shè)和運(yùn)行維護(hù)的各個(gè)階段,都應(yīng)采取統(tǒng)一的安全技術(shù)策略,而各VPN網(wǎng)根據(jù)所統(tǒng)一的安全策略和各自不同業(yè)務(wù)特點(diǎn),采用相應(yīng)的安全防范措施和技術(shù)手段,以滿足城域網(wǎng)全網(wǎng)的整體安全要求以及各專業(yè)系統(tǒng)自身的安全需求。城域網(wǎng)的安全保障可考慮采用以下幾種技術(shù)策略來(lái)實(shí)施:

預(yù)防——采用認(rèn)證授權(quán)、訪問(wèn)控制和路由隔離等技術(shù),防止外界對(duì)城域網(wǎng)網(wǎng)絡(luò)的各種非法訪問(wèn),避免入侵者對(duì)城域網(wǎng)網(wǎng)絡(luò)資源的破壞和竄改;采用VPN構(gòu)建虛擬專用網(wǎng),為各類用戶專用網(wǎng)提供有效隔離。

監(jiān)測(cè)——通過(guò)監(jiān)控和定期檢測(cè)等主動(dòng)防御措施,及時(shí)發(fā)現(xiàn)城域網(wǎng)在運(yùn)行中可能存在的各種安全漏洞,進(jìn)而采取相應(yīng)措施。

調(diào)整——對(duì)各項(xiàng)日志和管理信息進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)問(wèn)題時(shí),及時(shí)對(duì)城域網(wǎng)進(jìn)行修改,消除可能的安全隱患;根據(jù)網(wǎng)絡(luò)安全技術(shù)的發(fā)展和各項(xiàng)業(yè)務(wù)新的要求,及時(shí)調(diào)整城域網(wǎng)全網(wǎng)安全策略的實(shí)施。

總之,寬帶城域網(wǎng)的網(wǎng)絡(luò)安全是一項(xiàng)艱巨而持久的任務(wù)。對(duì)網(wǎng)絡(luò)安全問(wèn)題必須通盤考慮,進(jìn)行體系化的整體安全設(shè)計(jì)和實(shí)施。既要充分考慮網(wǎng)絡(luò)的安全性能,考慮設(shè)備防攻擊的性能,有效運(yùn)用設(shè)備相關(guān)安全特性,又要結(jié)合專用的安全產(chǎn)品,采取分區(qū)、多層安全保護(hù)措施。既要考慮設(shè)備安全和技術(shù)的因素,又要重視網(wǎng)絡(luò)安全人員在網(wǎng)絡(luò)安全方面所起決定性的作用。

內(nèi)蒙古自治區(qū)第五屆自然科學(xué)學(xué)術(shù)年會(huì)開幕

2009年11月21日,內(nèi)蒙古科技館報(bào)告廳座無(wú)虛席,來(lái)自自治區(qū)各大院校、科研院所、有關(guān)企業(yè)科技工作者、研究生及內(nèi)蒙古第五屆自然科學(xué)學(xué)術(shù)年會(huì)獲獎(jiǎng)?wù)撐淖髡呒坝嘘P(guān)學(xué)會(huì)代表400人云集在此,參加內(nèi)蒙古第五屆自然科學(xué)學(xué)術(shù)年會(huì)開幕式,并聆聽專家學(xué)者的報(bào)告。

本屆學(xué)術(shù)年會(huì)由內(nèi)蒙古黨委組織部、內(nèi)蒙古人事廳、內(nèi)蒙古科技廳、內(nèi)蒙古科協(xié)聯(lián)合舉辦。內(nèi)蒙古政協(xié)副主席、內(nèi)蒙古科協(xié)主席牛廣明,內(nèi)蒙古科協(xié)黨組書記、副主席景建華、內(nèi)蒙古科技廳副廳長(zhǎng)馬強(qiáng),內(nèi)蒙古科協(xié)副主席陳天保以及其他主辦單位的相關(guān)領(lǐng)導(dǎo)出席開幕式。牛廣明發(fā)表了致辭,內(nèi)蒙古科技廳副廳長(zhǎng)馬強(qiáng)做了《內(nèi)蒙古科技創(chuàng)新發(fā)展》的報(bào)告,東北大學(xué)機(jī)械工程與自動(dòng)化學(xué)院工業(yè)設(shè)計(jì)研究所所長(zhǎng)、中國(guó)機(jī)械工程學(xué)會(huì)高級(jí)會(huì)員、遼寧省機(jī)械工程學(xué)會(huì)機(jī)械設(shè)計(jì)分會(huì)秘書長(zhǎng)、TRIZ研究會(huì)副理事長(zhǎng)趙新軍教授做了《TRIZ—發(fā)明問(wèn)題解決理論》的專題報(bào)告。

牛廣明主席在致辭中希望科協(xié)及所屬學(xué)會(huì)要組織和動(dòng)員廣大科技工作者,樹立實(shí)現(xiàn)現(xiàn)代化的遠(yuǎn)大理想,樹立民族自尊心和自信心,從個(gè)人、局部、眼前利益的束縛中解放出來(lái),從滿足于跟蹤、模仿、外圍打工的桎梏中解放出來(lái),大力加強(qiáng)原始性創(chuàng)新、集成創(chuàng)新和在引進(jìn)先進(jìn)技術(shù)基礎(chǔ)上的消化、吸收、再創(chuàng)新。要努力開創(chuàng)知識(shí)前沿的新領(lǐng)域,擁有一批自主知識(shí)產(chǎn)權(quán),造就一批具有國(guó)際競(jìng)爭(zhēng)力的人才、企業(yè)和品牌,為內(nèi)蒙古經(jīng)濟(jì)社會(huì)發(fā)展提供強(qiáng)大的科技支撐;希望科技界要抓住并用好本世紀(jì)頭二十年的重要戰(zhàn)略機(jī)遇期,投身科技創(chuàng)新的偉大洪流中,以科學(xué)發(fā)展觀為指導(dǎo),牢固樹立和諧、創(chuàng)新、可持續(xù)發(fā)展的觀念,推動(dòng)內(nèi)蒙古經(jīng)濟(jì)、社會(huì)、科技的快速發(fā)展;希望同志們大力普及科學(xué)知識(shí),推廣先進(jìn)實(shí)用技術(shù),為人民造福,為構(gòu)建和諧內(nèi)蒙古,創(chuàng)新型內(nèi)蒙古而努力奮斗。

趙新軍教授所做的《TRIZ—發(fā)明問(wèn)題解決理論》是世界著名企業(yè)應(yīng)用的解決發(fā)明創(chuàng)造問(wèn)題的最新理論和方法,是目前解決技術(shù)難題、實(shí)現(xiàn)創(chuàng)新的最有力的工具之一。與其它創(chuàng)新原理或創(chuàng)新技法相比,它應(yīng)用簡(jiǎn)單方便,可操作性強(qiáng),不僅可以直接用于解決工作中遇到的實(shí)際問(wèn)題,還可以打破思維惰性、改變?nèi)藗兎治鰡?wèn)題和解決問(wèn)題的思路,提高人們的創(chuàng)新意識(shí)和創(chuàng)造能力。是企業(yè)實(shí)現(xiàn)創(chuàng)新、研發(fā)出滿足顧客需求產(chǎn)品的最有效的方法,參加年會(huì)的科技人員頗感興趣。

本屆年會(huì)的主題是:“和諧、創(chuàng)新、發(fā)展”。圍繞“提高自主創(chuàng)新能力,促進(jìn)區(qū)域和諧發(fā)展”主題,大會(huì)組委會(huì)在全自治區(qū)范圍內(nèi)開展征文工作,共征集論文565篇,涉及農(nóng)牧林水等31個(gè)學(xué)科,經(jīng)第五屆自然科學(xué)學(xué)術(shù)年會(huì)論文評(píng)審委員會(huì)評(píng)審,評(píng)選出優(yōu)秀論文191篇,其中一等獎(jiǎng)?wù)撐?7篇,二等獎(jiǎng)?wù)撐?3篇,三等獎(jiǎng)?wù)撐?11篇。編輯出版了《和諧創(chuàng)新發(fā)展——內(nèi)蒙古自治區(qū)第五屆自然科學(xué)學(xué)術(shù)年會(huì)優(yōu)秀論文集》。內(nèi)蒙古生物工程學(xué)會(huì)、內(nèi)蒙古電機(jī)工程學(xué)會(huì)、內(nèi)蒙古醫(yī)學(xué)會(huì)、內(nèi)蒙古口腔醫(yī)學(xué)會(huì)等11個(gè)直屬學(xué)會(huì)也圍繞年會(huì)主題開展了形式多樣、內(nèi)容豐富的分會(huì)場(chǎng)交流活動(dòng)。11個(gè)直屬學(xué)會(huì)交流論文1 200多篇,參加科技人員約13 000多人,讓科技工作者獲得了先進(jìn)的科技信息和知識(shí),促進(jìn)了相關(guān)學(xué)科科技進(jìn)步。實(shí)現(xiàn)了“搭建學(xué)術(shù)平臺(tái)、推動(dòng)科學(xué)創(chuàng)新、促進(jìn)人才成長(zhǎng)”的目的。

內(nèi)蒙古自然科學(xué)學(xué)術(shù)年會(huì)每?jī)赡昱e辦一屆,為全區(qū)廣大科技人員提供了一個(gè)集中交流思想和施展才華的舞臺(tái),已成為內(nèi)蒙古自治區(qū)水平較高、規(guī)模較大的學(xué)術(shù)界盛會(huì)。在不斷推進(jìn)科學(xué)思想的傳播和融合,科技成果的涌現(xiàn)和轉(zhuǎn)化,人才的培養(yǎng)和成長(zhǎng),促進(jìn)科技人才脫穎而出,推動(dòng)自治區(qū)經(jīng)濟(jì)、科技、社會(huì)發(fā)展方面發(fā)揮了積極作用。