IP宽带城域网安全与实施
2009-07-28刘惠
刘 惠
摘要:随着网络技术的发展演变,IP宽带城域网已成为宽带网络的发展方向,各种信息化应用都将基于IP技术。本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上,从设备安全、结构安全、应用安全三个方面阐述了如何保障网络的安全性和运行质量,从而构件一个“可控制、可管理、可经营”的电信级IP宽带城域网,为各种信息化应用提供一个安全可信的基础点心网络平台。
关键字:设备安全;结构安全;应用安全
经过了数年市场变迁,当前我国IP城域网又面临着一个新的发展阶段。对IP城域网的需求已经从简单的高带宽,转向可提供高质量、多业务、高可靠性不间断通信的方向发展。因此,作为网络质量的基础之一,网络安全问题已越来越受到运营商的重视。同时,在一些特殊的行业应用中,例如银行、公安、支付、企业互联互通等,IP网络的安全性、保密性又被作为一种对实际业务的要求而提出,也促进了IP城域网网络安全技术的发展。
1 城域网网络架构与安全现状
IP城域网的网络架构分为三个层次:网络核心层、网络汇聚层、宽带接入层,网络的各个层次承担了不同的功能。根据城域网不同网络层次的不同功能,每个层次都有不同的特点,面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层网络主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。
2 IP城域网网络安全模型
对于宽带IP网络运营商而言,宽带城域网包括基础承载网络和运营支撑平台两个部分。城域承载网是城域网业务接入、汇聚和交换的物理核心网,它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。针对IP城域网承载网络部分面临的安全问题的特点,从设备安全、结构安全、应用安全来控制网络中的安全风险。对于城域网运营支撑平台,我们将采用分区域的安全模型,将支撑平台划分成三个区域:信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络,通常采用防火墙等设备与电信业务承载网隔离,包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行数据交互的平台,包括电信运营商提供的各种业务平台,如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是运营商面对客户的基础网络,它直接提供用户的接入和业务,同时也是Internet网络的一部分,包括基础用户接入、数据交换、媒体网关等设备,是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础,在城域网中起着至关重要的作用,作为安全模型中的非信任域,需要重点考虑。
3 城域网网络结构安全
网络结构安全是指网络在结构设计上保证不会出现单点失效,主要由网络拓扑结构的设计、网络协议的选用等等来保证。
在城域网网络中,注重链路的备份和冗余,尤其在核心层和汇聚层,汇聚层的路由交换机以两条链路连接到两台骨干路由器上,通过运行动态路由协议OSPF协议实现链路的冗余备份和自动倒换,避免了由于链路故障导致网络服务中断。采用虚拟局域网VLAN主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此,规划VLAN时也综合考虑这三方面的因素。接入层设备为支持VLAN功能,为了进行不同用户间的有效隔离和互联,需要利用交换机对用户进行不同的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离,此时如果需要互联,可通过上连设备的ACL功能来控制;也可以根据需要将多个交换机的不同端口划为同一个VLAN,直接实现有限制的用户互联。
4 城域网网络应用安全
4.1 黑客攻击的防范
黑客攻击的手段多种多样,其中对电信级IP城域网危害最大的就是DOS攻击, DOS攻击是目前一种较为普遍的攻击手段,黑客通过对目标主机或服务器建立大量的连接,使网络中的路由器和服务器处理不过来,或将某条链路阻塞,造成正常的用户无法访问。针对外面网络的攻击,我们需要从上联侧的路由器/交换机协同工作,做出正确的配置(如避免转发广播到内部网络),利用交换机控制SYN/ICMP包数量,利用路由器的采样和防止NOC/地址欺骗功能。黑客攻击是网络应用安全的重点,但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制。
4.2 用户认证安全
在IP城域网安全部署实施中,主要在以下几个方面实现对用户有效的管理和控制: 通过PPPOE、DHCP+WEB、802.1X等多种认证方式,实现对各种接入用户和接入业务的接入认证功能;通过VLAN ID和PVC ID唯一标识每个用户以及其物理定位;对用户名、地址、VLAN或PVC等属性进行绑定,防止用户帐号、IP地址被仿冒或盗用;限制一个用户、一个VLAN或PVC只能申请有限的IP地址,防止用户恶意申请IP地址。
5 城域网网络安全控制
为实现整个IP城域网网络的安全性,必须在城域网核心路由器、路由交换机、宽带接入服务器等设备采取多种安全控制机制。具体的手段如下:
防火墙(Stateful Firewall)
为了实现对用户安全更有效的保证,单纯的访问列表并不能实现流量的动态跟踪,在IP城域网安全部署实施中还要部署状态防火墙,状态防火墙是一般包过滤结构的一种改进型的扩展。状态防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。
安全ARP
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于网络中,当网络中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过"ARP欺骗"手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 针对此类问题需要引入了安全化的ARP。
6 未来城域网安全防护趋势
一方面,随着WLAN技术在城域网接入环节的兴起,关于无线接入的用户隔离技术以及针对WLAN接入的网络安全防护,将成为城域网中的重要发展方向。由于WLAN技术自身在安全方面的缺陷,导致用户不能有效隔离和用户接入网络易受攻击。现在已经有多种技术可以弥补WLAN技术在安全方面的缺陷,如:可以采用AP隔离、AP与用户IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安全特性。另一方面,随着僵尸网络的产生和网络攻击行为的复杂化,未来网络中的黑客攻击将成为越来越突出的安全问题。对比之下,传统的IP城域网对于这些黑客的攻击行为的识别、抵御和防范存在明显的不足,因此,为了抵御日趋复杂的攻击行为,必须对城域网的防攻击能力有一个完整的规划,首先我们应该建立一个蜜网系统,利用该系统可以从网络中获取实际的病毒数据和攻击行为样本,通过分析可以及时掌握网络中存在的僵尸系统和其指令集,并可以在网络防火墙上指定有针对性的防御策略;其次,我们应该采用一些集成的攻击防御平台,在网络设备和运营支撑平台上采用多种防御手段相结合的策略,抵御网络上的攻击行为。
参考文献
[1]电信级IP信息网络的构建.人民邮电出版社.
[2]宽带IP城域网的路由设计与实现.计算机工程与应用
[3]DOS攻击技术及其防范.计算机安全.
[4]Ethernet的ARP欺骗原理及防御.网络完全技术与应用
作者简介:刘惠,女,1969年出生,2007年毕业于吉林大学通信工程专业,中国联合网络通信有限公司七台河市分公司网络管理中心副经理。