IP城域网网络安全的相关研究.pdf

IP 城域网网络安全的相关研究 楚丽洁 （中国移动通信集团辽宁有限公司大连分公司，辽宁大连 116001） 摘 要：随着Internet 和宽带业务的快速发展，IP 不仅成为业务的核心，而且会逐渐 取代传统的电路交换成为网络承载的核心。文中对城域网的网络安全进行了详细的研究， 结合华为公司的网络安全体系架构，给出了辽宁城域网网络安全可以考虑的几种安全策 略。文中提出的网络安全架构对IP 城域网的发展具有很好的借鉴意义。 关键词：通信、城域网、安全体系、网络安全 The safe relevance study on IP region network Chu Lijie (China mobile Corp. Liaoning Co.,Ltd , Dalian branch company of Ltd. Liaoning Dalian 116001) With the fast development of Internet and the broadband business, IP not only become the business core, but also circuit substitute traditional circuit exchanging, which will be the core of net domination. The paper carried out detailed research on region network safety, combining with HUAWEI companys frame of network safety system , have given several kinds of safety tactics about Liaoning region network safety. Network safety frame brought forward by the artitle has very significant lessons to development of IP region. 1.引言 作为一个可运营可管理的电信级网络，网络的安全性以及可管理性非常关键，本论 文探讨的网络安全方面应该采取的一些措施。 从计算机安全学的观点分层进行分析，计算机网络的安全包括以下几个方面，首先 是物理网络的安全，含网络设备物理层的安全和网络结构的安全；第二层是操作系统级 的安全；第三层为应用系统的安全；最高层是信息内容，或称为数据安全[M]1。 在以上四层的安全性问题中，网络物理层的安全主要由硬件设备及机房设计来保 证；网络结构的安全主要由网络拓扑及协议的设计来保证；操作系统级的安全主要由防 火墙系统的设计、操作系统安全和数据库系统安全来保证；应用系统的安全主要由应用 系统本身的设计保证；数据安全主要由加密和签名等技术保证。 2.网络应用安全 谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网络同时 诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首先了解黑客所 使用的手段。一般说来黑客所使用的手段主要有下面几类[M]2。 2.1 使用探测软件 一般说来，有网络路由器的地方都有探测程序(snifter program)。探测程序是一 种分析网络流量的网络应用程序。IP 的最基本的缺点是缺乏一种机制来确定数据包的真 正来源。所有的包都含有源地址和目的地址，但是在 IP 包中没有任何东西可以确认 IP 包的源和目的地址是否变动过。显然，安全性不好的系统将是黑客进驻和安装探测软件 的地方。一旦探测软件安装完毕，黑客就可以通过分析经过的所有数据流量，从而得到 所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP 的弱点，因为 它可以用来探测有效的Internet 连接。一旦这种连接被检测到，包探测程序就可以利用 IP 的其它弱点窃取其它连接信息。 2.2 IP地址欺骗 当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP 时，一种路由方式 的地址