IMS网络中防火墙设备具体应用.docVIP

IMS网络中防火墙设备具体应用 　　摘 要：复杂的网络环境和智能化的终端设备直接影响IMS用户使用感知，通过对现有网络部署应用的分析与研究，提出一种优化方案提高IMS网络的可靠性和安全性。 　　关键词：IMS；防火墙 　　中图分类号：F224.33 文献标识码：A 文章编号：1008-4428（2017）09-10 -03 　　一、引言 　　随着宽带技术快速发展，在数据网上进行多媒体通信已经成为一种普遍需求。IP多媒体子系统（IMS）是一种崭新的多媒体业务形式，采用SIP（Session Initiation Protocol）协议作为其会话控制协议，利用SIP简易、灵活、易扩展、协商便捷等优点来提高网络的未来适应能力。与传统PSTN相比，无论是所能提供的业务类型还是成本控制，IMS均有突出的优点。基于IP技术实现的IMS网络继承了IP的优点，同样也继承了IP网络的多种安全性和可靠性问题。所以，在IMS网络中部署防火墙是必不可少的环节，本文重点探究如何在IMS网络中部署防火墙，从而提高网络的安全性和可靠性。 　　二、网络的安全性和可靠性概念 　　（一）网络的安全性概念 　　网络的安全性是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。网络设备作为基础设施是信息处理的关键所在，若其安全性能较低，整个网络安全性能更难以保障。一般在网络系统终端具有较高的交换信息能力情况下，网络安全性自然也会得到提高。同时需要注意的是所有信息产生后都会由网络系统承载，这就要对网络设备质量提出更高的要求。 　　尽管近几年运营商和大多企业对网络安全给予足够的重视，但由于技术的日新月异，使得提高网络安全性这一目标很难完全实现。本文研究主要从通过部署防火墙提高数据的安全性。 　　（二）网络的可靠性概念 　　网络的可靠性是指硬件的可靠性、软件的可靠性、人员的可靠性和环境的可靠性。影响网络可靠性的主要因素包括网络拓扑结构的可靠性和网络设备的可靠性。 　　计算机的网络结构包括星型结构、环型结构、网状结构和混合型结构。选择何种网络结构需要根据实际情况决定，没有哪种网络结构具备绝对的可靠性，这需要在网络部署完成后不断地升级与扩容，使其可靠性不断增强。网络设备的可靠性包括传输设备可靠性和数通设备可靠性。 　　三、防火墙的基本原理 　　（一）防火墙的基本概念 　　在实际的网络环境中，单一的安全防护技术不足以确保网络的安全，多种安全防护技术的综合应用才能够将安全风险控制在尽量小的范围内。 　　一般而言，构建一个安全防范体系具体实施的第一项内容就是在内部网络和外部网络之间构筑一道防线，以抵御来自外部的绝大多数攻击。完成这项任务的网络产品的作用类似于建筑行业中用于防止火灾蔓延的隔断墙，因此我们称这种网络产品为防火墙。 　　防火墙是监控可信任网络（内部网络）和不可信任网络（外部网络）之间的访问通道。它一方面阻止来自外部网络的用户对内部网络的未授权访问，另一方面允许内部网络的用户对外部网络进行访问。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的主机可以访问因特网。现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别、对信息进行安全处理（如加密）等等。 　　防火墙不单用于对因特网的连接，也可以用来保护内部网络的大型机和重要的资源（如数据）。对受保护数据的访问都必须经过防火墙的过滤，即使网络内部用户要访问受保护的数据，也要经过防火墙。 　　（二）防火墙的基本功能 　　1.入侵防御（IPS） 　　IPS功能通过对应用协议的详细解析及异常检测，防御对网络终端应用的入侵攻击。其主要手段有深度检测和防护、IPS签名库和入侵攻击日志记录。 　　2.运营级NAT（CGN） 　　由于移动宽带网络、物联网等新技术以及各种应用服务的高速发展，IPv4地址资源已经枯竭。IPv6是解决IPv4地址耗竭的根本办法，互联网向IPv6网络的过渡已刻不容缓。在目前IPv6尚未商用的情况下，一种优秀的过渡技术显得十分重要，NAT就是其中之一。常用的NAT技术有Dual-Stack+NAT444、6RD、DS-Lite和NAT64。 　　选择哪种具体的过渡技术，与运营商拥有的IPv4地址数量、现有网络结构和流量模型、初期部署升级的?y度以及后期演进思路等因素有关。 　　3.异常流量监管（Anti-DDoS） 　　当今网络威胁的种类、网络攻击的强度正呈几何速度增长，针对HTTP、HTTPS、SIP、DNS等应用层协议的攻击类型不断创新，使用传统的、基于Flow的大流量分析攻击的检测方法濒临失败。如何应对海量攻击和应用层攻击，保证网络稳定运行？如何降低维护成本，提高收益？这已经是运营商面临两大亟待解