面向多层次的IP承载网安全策略.pdfVIP

《2009年北京青年通信科技论坛》论文集 面向多层次的IP承载网安全策略 郭爱鹏，周光涛，唐雄燕 (中国联通集团国家工程实验室有限公司，北京100032) 【摘要】 如何解决好口承载网的安全问题，特别是NGN和3G时代的口承载网安全问题， 成为关乎电信业务能否正常运营、用户对电信服务是否满意、未来网络能否健康发展的的关键问 题之一，本文明确了口承载网的概念，承载网的安全要求和安全规则，并在此基础上提出口承 载网不同层次的安全策略建议。 【关键词】承载网：安全规则：安全建议 1概述 1．1 IP承载网安全简介 口承载网从广义上定义，可以简单说是承载业务的口网络，以IP技术为基础 的多业务承载网，是运营商网络IP化和网络转型的基础。 口网络与传统电信网相比，其网络安全产生的两个根本原因是终端智能化和网 络开放性。终端智能化带来了业务的灵活性，同时也使终端具备了产生安全攻击的 强大能力，同时m网络UNI和NNI不分，这种攻击就能够延伸到其他终端、业务 系统甚至网络设备，使IP网络上的安全风险很大。因此，如何更好的解决IP承载网 的安全问题，特别是解决NGN以及3G共同发展时代的口承载网安全问题，成为关 乎电信业务是否能正常运营、用户对电信服务是否满意、未来网络能否健康发展的 关键问题之一【11。 1．2 IP承载网的安全威胁 从网络的物理构成上，可以将口承载网的安全分成三个部分讨论：核心网安全、 骨干与汇聚安全和用户接入安全。本文分别从核心网安全、骨干与汇聚安全和用户 接入安全三个方面考虑IP承载网的安全需求和防护措施【2】。 1．运营商业务的安全问题 未经授权使用业务，导致运营商收入流失。利用设备端口连接用户私有的数据网 络， ， 通过网络层或应用层的大流量攻击，使设备无法响应正常用户的业务请求或降低业 务的品质。 2．运营商设备的安全问题 通过设备远程加载或数据配置流程的漏洞破坏设备，通常的TFTP、FTP、SNMP 等协议均存在安全漏洞。通过病毒入侵的方式破坏设备，或者用户被病毒感染的计 算机自动攻击 设备，造成业务的中断或者劣化。通过非常规的技术手段获得设备的控制权。 3．用户业务的安全问题 盗用其他用户的帐号及权限使用业务，非法监听其他用户呼叫的主被叫信息或媒 体流内容。 {2009年北京青年通信科技论坛》论文集 2 IP承载网安全解决方案 IP承载网具备固定的层次结构，主要可分为三个层次：核心层，汇聚层和接入层 (图1)。核心层进行高速的内部数据交换和转发，成为承载网的核心网络。汇聚层 将各种接入链路进行汇聚集中便于管理以及与核心网络相连过渡、另外还完成各种 接入的集中认证【3】。接入层主要完成各种情况的接入，比如LAN接入、ADSL接入、 无线接入、F1]Ⅸ等多种方式。 口承载网安全规划原则有以下几点： 1．核心网的逻辑分离(MPLS．Ⅵ悄) 2．接入网用户及业务隔离(VLAN，PVC等j 3．基于BAS认证的用户接入控制 4．PUPT(PeruserPer Tunnel)技术 5．设备提供ACL／uRPF等安全控制技术 6．承载网安全分区(信任区，非军事区和非信任区) 7．防火墙安全策略设置 ‘ 图1承载网结构 2．1 IP承载网核心网安全解决方案 从逻辑上来说，IP承载网可以分成三个平面：业务平面、管理平面和控制平面。 VPN 其中，业务系统主要包含IP承载网承载的相关业务，这些业务一般采用MPLS 相互隔离，在物理的IP承载网上形成相互隔离的逻辑网络。管理平面主要指承载网 设备网管、业务系统网管和支持系统。控制平面主要指IP承载网的相关协议报文和 设备内部的控制消息。 1)业务平面安全 采用MPLSVPN进行业务隔离，IP专网将承载网按照业务安全等级划分不同的 逻辑子 网，减小安全管理域范围。MPLS的RFC已经说明MP