网络设备安全加固技术教材.ppt

* * * * * * * * * * * 业务平面主要是指IP承载网承载的各种业务，本期工程主要包括软交换信令业务、媒体业务、分组数据和大客户专线业务等。这些业务可能分成三大类： 第一类电信类业务，属于可信任业务，如软交换业务，其主要特点是：业务平面的“用户设备”只有软交换设备，属于大型专用设备，安全漏洞很小，仅仅与封闭的电话网互连，因此，对业务平面的风险主要是软交换流量冲击业务平面，可以通过流量控制解决。未来的3G CS或者3G PS也可以归纳入此类业务。 第二类业务是部分可信任的运营商业务，如IP承载网的网管、软交换的网管，这些业务一方面属于IP智能系统，同时又具有一定的封闭可控性，对于IP承载网存在一定的安全威胁。 第三类是大客户VPN业务，属于非信任域业务，由于接入设备CE一般是IP设备，如主机、路由器等，并且部分设备的管理归属不属于中国联通，因此对于IP承载网来说这些业务和网络均是不可信的，无论CE是联通公司的设备还是用户的设备。 * 业务平面的安全威胁主要分为三个方面： 不同安全域的流量互通冲击，主要是大客户VPN网络或者其它网络对内部系统的攻击，如软交换系统，这也是最严重的安全风险； 外部系统流量过载或者内部系统流量过载，超过SLA承诺带宽，影响其它业务的正常使用； 非法流量泛滥消耗带宽，主要来自大客户VPN网络，这些流量会抢占IP承载网的带宽，影响其它业务，如软交换业务的使用。 * MPLS VPN安全隔离 　　业务平面安全基础是采用MPLS VPN逻辑网络实现不同业务的安全隔离，MPLS VPN安全等级能够等同于ATM/FR，并且在IP承载网得到成熟应用。 　　从实际使用情况来看，目前没有由于VPN客户对运营商网络的攻击导致网络瘫痪的报告，也没有MPLS VPN内用户被其他VPN用户攻击的报告。 IP承载网对于不同VPN之间的互访是严格受控的，VPN之间的互访提供三种方案： 全通方案：如果是两个VPN的互通，可以将两个VPN的路由信息输出到相同的RT，并都导入，可实现完全互通。这种方案优点是各VPN的SITE之间可以直接进行通信，效率高，缺点是不利于对两VPN互通情况进行统一控制，可能会存在较高的安全风险； 公共VPN方案：通过建立一个公共VPN，导出两个VPN的RT，两个VPN都可以对公共VPN实现访问,两个需要进行信息互通的VPN，全部互通流量通过公共VPN进行转发。这种方式有利于对互通情况及互通流量进行集中监控，同时可以设置策略对互通情况进行干预，安全性比较高； 业务网关方案：通过跨多VPN的业务网关方式实现两个VPN之间的互通,通过业务网关互通可以进行更高层次的互通控制，如应用层。安全性也最高，但相对来说处理效率、处理能力较低。适合不同运营商业务网络之间的互通。 　　在实际应用过程中，根据需要选择不同的互通方式，但是如果VPN之间的流量非常大，且安全等级类似，将系统归入同一个VPN。 * PE分设 　　MPLS VPN是安全的，但是仍然存在安全风险，MPLS VPN的安全风险主要存在PE。PE的安全风险是可以控制的，一方面可以通过PE分设保证信任业务和其它业务的物理隔离，解决了PE的安全风险问题，另一方面也可以在PE面向CE的端口部署严格的安全策略来实现安全防护，本期工程采用PE分设的方案来提供更高的安全保护能力， * 防止异常流量攻击 IP承载网的主要安全威胁都是来自大客户VPN业务，因此在业务层面针对大客户VPN业务必须采用流量限制策略，主要有几种方式： 基本的ACL，基于五元组的流过滤，一般可以部署到PE路由器接入大客户VPN网络的端口，过滤非法流量； uRPF反向地址检测，支持严格和松散模式，防止来自大客户VPN网络的IP Snooping攻击； CAR进行流量限制，同时启动CAR后流量重新标记，防止优先级欺骗和非法用户超额使用网络资源。 * * * * 防火墙技术及部署方案 防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合，目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网(Intranet)和互联网(Internet)之间的任何活动，保证了安全区内部网络的安全。 在核心业务系统的网络出口部署高性能的防火墙产品，保证所有的流量通过防火墙，从而实现对网络边界的访问控制，采用冗余方式部署防火墙，