IP城域网汇聚层安全.pdfVIP

学 海 无 涯 IP 城域网汇聚层安全 IP 城域网汇聚层安全 汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用 户管理功能，作为城域网的业务提供层面，是可运营、可管理城域网 最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城 域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。 汇聚层设备的安全特性主要体现在以下几点： ●用户接入网络的安全控制，包括加强口令、密码、智能卡等访 问控制手段； ●支持限制用户端口最大接入IP 地址数、PPP 会话数、TCP/UDP 连接数，有效防止DOS、DDOS 类的攻击； ●支持访问控制列表(ACL)，包括在虚拟路由器中创建ACL 列表、 采用多种过滤规则提供多层次对目标网络的保护，以及禁止部分用户 访问或有选择地屏蔽网络服务； ●可实现对用户带宽的控制； ●安全日志管理。从长远看，BRAS 产品也必须考虑用户的安全 防护措施。如何提供病毒防治、集中安全管理和升级等手段，将成为 提高通信网络安全的关键。 IP 城域网接入层安全 通过各种接入技术和线路资源实现用户覆盖，提供多业务用户的 接入并配合完成用户流量的控制功能，包括xDSL 、LAN 和WLAN 等接 学 海 无 涯 入方式。 设备采用的安全手段包括： ——保证接入侧用户相互隔离，保证接入的安全性，防止 IP 地 址被盗用或仿冒，防止用户间的相互攻击； ——IP 地址与 MAC 地址、卡号绑定，能够准确定位用户，包括 端口或MAC 地址，并可提供追查恶意用户的手段； ——在LAN 接入方面，还要采用一些端口检测的措施，防止用户 二层环路的发生； ——采用PortSecurity 措施，防止用户的CAM 攻击和ARP 攻击等。 城域网运营支撑平台的安全 信任域的安全 信任域由网络业务支撑系统、网管系统、用户认证计费系统等组 成，是城域网安全运营的核心所在，因而，必须采取最严密的安全措 施。在一般情况下，信任域可能面临的威胁包括网络攻击、网络入侵、 病毒(造成拒绝服务攻击)等。为了避免这些威胁，保证信任域的安全， 可采取以下手段： ☆部署防火墙，制定严格的安全访问策略，严格限制对此区域的 访问； ☆认真配置好系统软件和应用软件，跟踪操作系统和应用系统的 漏洞及补丁进展情况，严格限定系统和应用所服务对象的范围； ☆部署网络入侵监测系统(IDS),对核心服务实施监控，对网络攻 击和病毒及时报警；☆建立网管系统和日志系统； 学 海 无 涯 ☆对重要的主机系统应采用双机热备份方式，对重要的应用系统 和数据做好完善的备份工作，根据具体情况和需要设置灾难恢复系统。 隔离域的安全 隔离域是城域网对外业务服务的平台，包括 WWW 服务、DNS 服务、FTP 服务、Mail 服务、用户查询系统等，所有业务必须对外开 放，因而安全威胁最大，也是最容易受到攻击的区域。为保证安全， 可采取以下手段： ▲部署防火墙，制定安全访问策略，特别是拒绝服务攻击(DDOS)； ▲及时修补服务器的安全漏洞，关闭不必要的网络服务等； ▲系统备份和日志系统等等。 非信任域的安全 非信任域是网络业务的传输网络，主要由各种网络交换机、服务 器等组成，它直接提供用户的接入和业务。非信任域网络安全的主要 威胁来自各种攻击和病毒，其危害性主要表现在三个方面： - 网络攻击或病毒攻击会消耗网络设备的系统资源，特别是 CPU 的处理能力，使正常用户报文丢失，造成网络故障。 -攻击大量消耗四层资源，如 TCP 连接数资源，对网络服务器和 NAT 设备的影响很大。 -黑客对设备访问控制权的攻击。 非信任域内的安全措施主要是采用一些动态病毒监测、镜像系统 备份等手段，防止病毒对系统造成危害；必须采用一些木马动态发现、 查杀的工具软件来防止系统漏洞；同时也可以采用一些IDS 系统