IP城域網(wǎng)設(shè)備安全加固措施

摘 要：隨著網(wǎng)絡(luò)、用戶及信息流量的不斷增長(zhǎng)，IP城域網(wǎng)中設(shè)備的網(wǎng)絡(luò)安全問(wèn)題日益突出。電信IP城域網(wǎng)主要承載互聯(lián)網(wǎng)、軟交換、ITV等重要業(yè)務(wù)。本文通過(guò)討論IP城域網(wǎng)中的網(wǎng)絡(luò)安全部署，來(lái)提升城域網(wǎng)安全防護(hù)措施。

關(guān)鍵詞：城域網(wǎng)；安全；防護(hù)

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2013） 18-0000-01

隨著互聯(lián)網(wǎng)的不斷發(fā)展，在城域網(wǎng)實(shí)際環(huán)境中，針對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器或其它計(jì)算機(jī)等設(shè)備的攻擊趨勢(shì)越來(lái)越嚴(yán)重，從而造成后果越來(lái)越劇烈。主要設(shè)備路由器作為城域網(wǎng)信息交換的載體，尤其是核心路由器，匯聚交換機(jī)進(jìn)行數(shù)據(jù)流的轉(zhuǎn)換，在突發(fā)數(shù)據(jù)或攻擊過(guò)程中，極易造成沉重的負(fù)荷或停機(jī)現(xiàn)象。為了盡可能抑制減少攻擊的效果，減輕網(wǎng)絡(luò)設(shè)備的負(fù)載量，使網(wǎng)絡(luò)設(shè)備穩(wěn)定運(yùn)行，設(shè)備廠商在路由器和交換機(jī)中應(yīng)用了一些安全防范技術(shù)，因此網(wǎng)絡(luò)管理應(yīng)根據(jù)不同類型的設(shè)備，有效地啟用和配置這些技術(shù)，凈化網(wǎng)絡(luò)環(huán)境。在本文以華為路由器、交換機(jī)為例，介紹了安全技術(shù)和配置方法。

一、城域網(wǎng)核心設(shè)備的安全防護(hù)措施

電信運(yùn)營(yíng)商IP城域網(wǎng)的主要設(shè)備是RAS和SR，主要承載了寬帶和大客戶業(yè)務(wù)，因此需要在BAS和SR設(shè)備上實(shí)施安全防護(hù)措施。

（一）提升核心設(shè)備數(shù)據(jù)層防護(hù)

通過(guò)結(jié)合CHINANET部署的黑洞路由機(jī)制，根據(jù)需要對(duì)城域網(wǎng)中的地址段進(jìn)行防護(hù)。在網(wǎng)內(nèi)部署專門的黑洞觸發(fā)路由器，用來(lái)發(fā)布黑洞路由，黑洞路由的community設(shè)置為特定值，在RR上修改黑洞路由的next-hop，同時(shí)在所有網(wǎng)絡(luò)邊緣設(shè)備上配置靜態(tài)路由把黑洞路由的next-hop指向空端口。對(duì)造成網(wǎng)絡(luò)或者重要鏈路擁塞的大攻擊流量進(jìn)行有效管控，主要是通過(guò)城域網(wǎng)遠(yuǎn)程觸發(fā)黑洞策略，保證網(wǎng)絡(luò)的安全運(yùn)行穩(wěn)定。如果城域網(wǎng)BAS或SR具備源地址檢查功能，則在BAS和SR上啟用源地址檢查功能。如城域網(wǎng)BAS或SR不具備（或者不完全具備）源地址檢查功能，則在城域網(wǎng)出口路由器下聯(lián)端口上采用ACL技術(shù)或者URPF技術(shù)（在設(shè)備具備相關(guān)能力的情況下）過(guò)濾掉源地址非法的數(shù)據(jù)包。源地址為城域網(wǎng)業(yè)務(wù)地址，或者自帶地址用戶的源地址。

（二）提升核心設(shè)備控制層防護(hù)

對(duì)于只接收國(guó)內(nèi)路由和缺省路由的城域網(wǎng)，為防止China Net網(wǎng)內(nèi)BGP路由過(guò)濾策略失效對(duì)城域網(wǎng)BGP控制層面的沖擊，需使用整理好的國(guó)內(nèi)地址列表通過(guò)模糊匹配的方式接收China Net廣播的國(guó)內(nèi)路由。

二、城域網(wǎng)匯聚層設(shè)備的安全防護(hù)措施

對(duì)城域網(wǎng)設(shè)備網(wǎng)絡(luò)安全配置進(jìn)行完善及優(yōu)化，探討網(wǎng)絡(luò)層面抗攻擊手段，提高城域網(wǎng)設(shè)備抗攻擊能力，確保城域網(wǎng)絡(luò)安全。

（一）提高匯聚層數(shù)據(jù)層面安全

1.使用ACL/VACL等技術(shù)手段，在城域匯聚層交換機(jī)二層或三層對(duì)常見(jiàn)病毒攻擊包（如沖擊波病毒、SQL蠕蟲(chóng)病毒及震蕩波病毒等）進(jìn)行過(guò)濾，保證匯聚層網(wǎng)絡(luò)數(shù)據(jù)的安全，防止因病毒攻擊引起網(wǎng)絡(luò)擁塞。

2.在匯聚層交換機(jī)的專線接入端口，使用路由器的uRPF檢查（ip verify unicast rpf），防止偽造地址引起的網(wǎng)絡(luò)接入攻擊。

3.在匯聚層交換機(jī)的專線接入端口，配置no ip directed-broadcast，關(guān)閉直接廣播包在路由層面的轉(zhuǎn)發(fā)，防止因直接廣播包引起的smurf攻擊。

4.在匯聚層交換機(jī)的用戶接入端口上關(guān)閉源路由，使用命令noipsource-route，防止源路由攻擊。

5.在匯聚層交換機(jī)的專線接入端口，配置no ip proxy-arp，關(guān)閉代理ARP功能，減輕CPU負(fù)擔(dān)，減少因此引起的可能ARP攻擊。

6.關(guān)閉不需要的網(wǎng)絡(luò)服務(wù)，如基于TCP和UDP協(xié)議的小服務(wù)、finger等；在用戶接入端口關(guān)閉CDP服務(wù)，提高匯聚層設(shè)備的安全性。

7.對(duì)使用VLAN技術(shù)開(kāi)放的二層VPN用戶，在中心交換機(jī)上設(shè)置spantree根節(jié)點(diǎn)，防止因根節(jié)點(diǎn)變化引起的spantree頻繁收斂。

8.在不同廣播域之間的二層trunk中繼上，對(duì)trunk的vlanID進(jìn)行過(guò)濾，減少透?jìng)鞑槐匾腣LAN，提高vlan資源的利用率，同時(shí)提高整個(gè)二層網(wǎng)絡(luò)的安全性。

（二）提高匯聚層控制層面安全

1.將所有匯聚層以上交換機(jī)的VTP類型設(shè)置為transparent，防止因意外情況下，交換機(jī)VLAN信息被修改或丟失。

2.管理VLAN與數(shù)據(jù)業(yè)務(wù)VLAN進(jìn)行分開(kāi)，控制每個(gè)管理VLAN內(nèi)的設(shè)備數(shù)目，禁止使用VLAN1做為管理VLAN，防止因cisco設(shè)備特性引起的管理vlan過(guò)大。

3.加強(qiáng)口令及日志管理，啟用了NTPserver，loggingserver。利用CiscoACS進(jìn)行交換機(jī)遠(yuǎn)程管理的TACACS+認(rèn)證及記帳，并對(duì)本地網(wǎng)的設(shè)備進(jìn)行分權(quán)管理。不同部門分配不同的口令權(quán)限，并強(qiáng)制口令定時(shí)更改，這樣既能保證了不同部門訪問(wèn)匯聚交換機(jī)的需求，又提高了交換機(jī)管理的安全性。

4.利用數(shù)據(jù)自動(dòng)備份系統(tǒng)，定時(shí)地對(duì)所有匯聚層設(shè)備配置進(jìn)行自動(dòng)備份，實(shí)現(xiàn)配置備份及時(shí)更新，并保證設(shè)備故障或配置丟失時(shí)業(yè)務(wù)快速恢復(fù)。

5.加強(qiáng)設(shè)備流量的動(dòng)態(tài)監(jiān)控，利用綜合IP網(wǎng)管系統(tǒng)對(duì)匯聚層以上的設(shè)備進(jìn)行流量實(shí)時(shí)監(jiān)控，為網(wǎng)絡(luò)優(yōu)化及故障處理提供手段及依據(jù)。

6.在匯聚層設(shè)備上設(shè)置SNMP控制訪問(wèn)權(quán)限，只對(duì)有需要的網(wǎng)管設(shè)備地址開(kāi)放。

三、結(jié)論

城域網(wǎng)安全通常包括：技術(shù)要求和管理要求，本文僅在技術(shù)方面對(duì)網(wǎng)絡(luò)安全進(jìn)行了分析。考慮IP城域網(wǎng)的實(shí)際情況，綜合采用上述技術(shù)，在IP城域網(wǎng)核心層、匯聚層設(shè)備進(jìn)行網(wǎng)絡(luò)安全策略配置，可以在一定程度上保障網(wǎng)絡(luò)設(shè)備安全，把對(duì)IP城域網(wǎng)的安全隱患危害減輕到最低程度。

參考文獻(xiàn)：

[1]郭輝，孫國(guó)春，于秋水.軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性分析[J].網(wǎng)絡(luò)與信息，2008（08）.

[2]魏念忠.計(jì)算機(jī)系統(tǒng)的安全問(wèn)題及防范策略[J].計(jì)算機(jī)安全，2007（12）.

[3]趙慧玲.城域網(wǎng)組網(wǎng)綜述[J].電信技術(shù)，2005（06）.

[4]陳運(yùn)清.城域網(wǎng)組網(wǎng)框架和多業(yè)務(wù)承載[J].電信技術(shù)，2005（06）.

[5]胡捷，王和宇.IP城域網(wǎng)業(yè)務(wù)演進(jìn)對(duì)設(shè)備、組網(wǎng)的要求[J].電信技術(shù)，2005（06）.

[6]胡琳.打造高質(zhì)量IP城域網(wǎng)的關(guān)鍵技術(shù)[J].電信技術(shù)，2005（06）.

[7]張向榮，張巖，李耀民.寬帶接入網(wǎng)技術(shù)及發(fā)展前景[J].中國(guó)數(shù)據(jù)通信，2005（01）.

[8]李運(yùn)蘭.IP和寬帶網(wǎng)絡(luò)發(fā)展方向的探討[J].南華大學(xué)學(xué)報(bào)（理工版），2003（04）.

[9]吉增瑞.安全等級(jí)保護(hù)的具體應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003（07）.

[10]隆昌義.基于軟交換技術(shù)的寬帶網(wǎng)絡(luò)[J].電信技術(shù)，2003（04）.

[12]CISCO設(shè)備相關(guān)資料[DB/OL].www.cisco.com

[13]華為設(shè)備相關(guān)資料及[DB/OL].support.huawei.com.

[作者簡(jiǎn)介]李鐵（1978.1-），男，錦州電信分公司，數(shù)據(jù)專業(yè)技術(shù)主管。