ip城域网汇聚层安全.docxVIP

IP城域网汇聚层安全 IP城域网汇聚层安全 汇聚层负责汇集分散的接入点进行数据交换 ,提供流量控制与用 户管理功能 ,作为城域网的业务提供层面 ,就是可运营、可管理城域网 最重要的组成部分。汇聚层设备就是用户管理的基本设备 ,也就是保 证城域网承载网与业务安全的基本屏障 ,更就是保障城域网安全性能 的关键。 汇聚层设备的安全特性主要体现在以下几点 : ?用户接入网络的安全控制 ,包括加强口令、密码、智能卡等访 问控制手段 ; ?支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP 连接数，有效防止DOS DDOS类的攻击； ?支持访问控制列表（ACL）包括在虚拟路由器中创建 ACL列表、 采用多种过滤规则提供多层次对目标网络的保护 ,以及禁止部分用户 访问或有选择地屏蔽网络服务 ； ?可实现对用户带宽的控制 ； ?安全日志管理。从长远瞧，BRAS产品也必须考虑用户的安全防 护措施。如何提供病毒防治、集中安全管理与升级等手段 ,将成为提 高通信网络安全的关键。 IP城域网接入层安全 通过各种接入技术与线路资源实现用户覆盖 ,提供多业务用户的 接入并配合完成用户流量的控制功能，包括xDSL LAN与WLAN等接 入方式。 设备采用的安全手段包括 : ——保证接入侧用户相互隔离 ,保证接入的安全性 ,防止 IP 地址被 盗用或仿冒 ,防止用户间的相互攻击 ; ——IP地址与MAC地址、卡号绑定，能够准确定位用户，包括端口 或MAC地址，并可提供追查恶意用户的手段； ——在LAN接入方面,还要采用一些端口检测的措施，防止用户二 层环路的发生 ； ――采用PortSecurity措施，防止用户的CAM攻击与ARP攻击等。 城域网运营支撑平台的安全 信任域的安全 信任域由网络业务支撑系统、 网管系统、 用户认证计费系统等组 成,就是城域网安全运营的核心所在 ,因而 ,必须采取最严密的安全措 施。在一般情况下 ,信任域可能面临的威胁包括网络攻击、网络入侵、 病毒（造成拒绝服务攻击 ）等。为了避免这些威胁 ,保证信任域的安全 可采取以下手段 : ☆部署防火墙 ,制定严格的安全访问策略 ,严格限制对此区域的访 问； ☆认真配置好系统软件与应用软件 ,跟踪操作系统与应用系统的 漏洞及补丁进展情况 ,严格限定系统与应用所服务对象的范围 ； ☆部署网络入侵监测系统（IDS）对核心服务实施监控，对网络攻击 与病毒及时报警；☆建立网管系统与日志系统 ☆对重要的主机系统应采用双机热备份方式 ,对重要的应用系统 与数据做好完善的备份工作 ,根据具体情况与需要设置灾难恢复系 统。 隔离域的安全 隔离域就是城域网对外业务服务的平台 ,包括 WWW 服务、 DNS 服务、FTP服务、Mail服务、用户查询系统等，所有业务必须对外开放， 因而安全威胁最大 ,也就是最容易受到攻击的区域。为保证安全 ,可采 取以下手段 : ▲部署防火墙 , 制定安全访问策略 , 特别就是拒绝服务攻击 (DDOS); ▲及时修补服务器的安全漏洞 ,关闭不必要的网络服务等 ; ▲系统备份与日志系统等等。 非信任域的安全 非信任域就是网络业务的传输网络 ,主要由各种网络交换机、服 务器等组成 ,它直接提供用户的接入与业务。非信任域网络安全的主 要威胁来自各种攻击与病毒 ,其危害性主要表现在三个方面 : -网络攻击或病毒攻击会消耗网络设备的系统资源 ,特别就是 CPU 的处理能力 ,使正常用户报文丢失 ,造成网络故障。 -攻击大量消耗四层资源，如TCP连接数资源，对网络服务器与NAT 设备的影响很大。 -黑客对设备访问控制权的攻击。 非信任域内的安全措施主要就是采用一些动态病毒监测、 镜像系 统备份等手段 ,防止病毒对系统造成危害 ;必须采用一些木马动态发 现、查杀的工具软件来防止系统漏洞；同时也可以采用一些IDS系统来 防止各种DDOS的攻击,保证系统的可用性。 未来城域网安全防护趋势 一方面，随着WLAN技术在城域网接入环节的兴起，关于无线接入 的用户隔离技术以及针对 WLAN 接入的网络安全防护 ,将成为城域网 中的重要发展方向。由于 WLAN技术自身在安全方面的缺陷，导致用 户不能有效隔离与用户接入网络易受攻击。 现在已经有多种技术可以 弥补WLAN技术在安全方面的缺陷，如:可以采用AP隔离、AP与用户 IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认 证等技术手段来提升WLAN网络的安全特性。 另一方面 ,随着僵尸网络的产生与网络攻击行为的复杂化 ,未来网 络中的黑客攻击将成为越来越突出的安全问题。对比之下 ,传统的 IP 城域网对于这些黑客的攻击行为的识别、 抵御与防范存在明显的不足 , 例如:对于目前网络中广泛存在的 DOS/DDOS