XX移动CMNET网络安全优化方案.docVIP

XX移动CMNET网络安全优化方案 　　摘 要：从XX移动CMNET网络现状入手，充分剖析现状存在的各种不合理配置、架构设计、不健全的安全设置等，并提出详尽的优化建议，以提升网络健壮性、安全性。 　　关键词：CMNET 网络 安全 优化 　　中图分类号：TP393.02 文献标识码：A 文章编号：1007-3973（2013）003-064-02 　　1 总体介绍 　　1.1 背景 　　从2011年始，XX移动在CMNET资源引入、本地资源建设等方面为全业务发展、用户感知提升做了很大努力。至2012年8月，已引入三家三方厂商，建设了2个厂家的内容缓存cache，以及网宿的CDN系统，具备用户业务服务的提供能力；完成CMNET省网智能DNS改造，核心接入侧PCC系统、WLAN接入侧流量分析系统也正在建设之中。 　　然而，受到网内资源匮乏等因素的限制，现网仍存在一些问题，严重影响CMNET网络的安全、平稳运行。为进一步提高XX移动CMNET网络的安全性、健壮性，提升网络疏通能力和用户感知，制定此CMNET网络优化方案。 　　1.2 优化对象 　　本优化方案涵盖的网元包括CMNET省网61台，均为华为数通设备，类型包括NE5000E、NE80E、NE40E、ME60，范围涉及CMNET省干核心、地市核心、地市汇聚以及三方出口路由器等。业务涉及集团专线、WLAN、家庭宽带业务。 　　1.3 优化内容 　　网络安全优化提升通常包括物理架构层面、管理层面、控制层面、数据层面等多方面的内容。物理架构层面则涵盖网络中存在的可能导致单点故障的节点、链路、板位、端口等内容；管理层面则包括帐号、口令、登录、认证、加密、访问控制等方面，涉及设备安全管理的诸多内容；控制层面则包括IGP、BGP、LDP、ICMP、ARP等网络控制协议的内容；数据层面则指防病毒、防攻击、URPF等基于数据保护为目的的内容。 　　2 组网情况介绍 　　XX移动CMNET省网核心由2台NE5000E组成，每台NE5000E分别通过2条10G链路上联到集团CMNET骨干节点。各地市核心由2台NE80E组成，全省共12个地市，每个业务量大的地市单边采用10G加2.5G的方式连接到省网核心；每个业务量小的地市单边采用2.5G加155兆的方式连接到省网核心。 　　省核心设置2个核心机房，在每个核心机房内采用NE40E和NE80E为接入设备，单边采用10G链路连接到省网核心NE5000E，主要承载省内自有业务。整个CMNET省网设置一个三方出口，负责全省集团客户业务流量的疏导。 　　地市公司用2台NE80E作为城域网的核心，2台NE80E/NE40E作为地市业务路由器SR；2台华为S9306作为地市WLAN业务的汇聚交换机；IMS业务通过专用防火墙E8080E接入IP承载网络。 　　3 物理架构层面优化建议 　　省干汇聚、核心层采用口字型设计，城域接入、汇聚层下行设备双归至上行设备，提高网络可靠性及利用率。不同层次的关键节点（如：NE5000E、NE80E）具备异地容灾能力。 　　了解了网元间的连接端口及连接关系，我们就可以分析网络中存在的单点故障风险了。下面详细分析XX移动CMNET网络中存在单点故障风险的链路位置。 　　具体位置信息如下： 　　（1）单点故障风险：省干两台核心NE5000E间直连20G链路、省干NE5000E与路由反射器RR间互联Eth-trunk 2G链路成员的端口、 XX市SR NE80E-1双归于汇聚层两台NE80E的两条GE链路、核心交换机S8016-2上联eth-trunk两条GE链路位于同一块单板，单板故障后，缺失冗余备份能力。 　　（2）流量冲击风险：各地市均存在核心层设备下连SR接口位于同一块单板，核心局两台NE80E下联S8016交换机的两条GE链路位于同一块单板，若单板故障，会引起对端设备突发流量冲击。 　　4 管理层面安全优化建议 　　本次管理平面的安全检测对包括帐号、口令、登录、认证、加密、访问控制等方面内容进行检测，结果如下所示。 　　通过检测，我们发现存在如下问题，并提出了提升管理层面安全水平的建议。 　　（1）部分设备未配置用户登录认证方式为用户名加密码，需及时配置，并保证密码满足安全规范要求，即密码至少6位，包括字母、数字、大小写、特殊字符等。 　　（2）部分设备用户授权未实现分级分权管理，建议及时实施分权配置，便于安全管控和安全审计。 　　（3）部分设备未限制允许telnet/ssh远程登录认证的管理网段和管理主机，严重影响网络安全，建议及时配置，同时建议采用安全的SSH协议进行远程登录。 　　（4）部分设备登录超时时间配置过长，建议设置idle-timeout控制登陆的idle