宽带城域网网络安全与优化
2010-08-15刘敏
刘 敏
中国铁通日照分公司,山东日照 276826
宽带城域网网络安全与优化
刘 敏
中国铁通日照分公司,山东日照 276826
随着互联网的快速发展,了解和研究互联网的人越来越多,研究互联网的人的意图各不相同,来自互联网的威胁开始出现,并且越来越严重。本文讨论了宽带城域网网络的安全与优化。
宽带城域网;网络安全;优化
从我国的互联网商业化之后,互联网产业已经取得了很大的发展。网络安全市场在2000年后开始成熟,据中国国家信息安全测评认证中心的预测,我国的信息安全市场2001年将高达50亿元人民币,其中加密、防火墙和防病毒是安全市场的三大主要支柱。目前,中国信息安全市场进入高速成长期,越来越多的企业意识到网络安全的重要性。
1 网络安全的重要性
互联网在早期的主要任务是发展,发展是第一位的,安全问题提不上议程。由于互联网特有的魅力,越来越多的人使用互联网,互联网应用发展很快,但技术发展还不充分,互联网本身还很新,了解和研究互联网的人还不太多,网络安全问题也不突出。随着互联网的快速发展,了解和研究互联网的人越来越多,研究互联网的人的意图各不相同,来自互联网的威胁开始出现,并且越来越严重。
美国计算机犯罪调查机构(CSI)和联邦调查局(FBI)的调查报告表明:91%的大公司和政府机构在过去的12个月内发现计算机安全问题,64%承认存在财务损失,当然还有碍于情面不愿意承认的,实际的数字比这个更高。导致财务损失的主要原因是机密信息的泄露和财务欺诈。70%的人承认是因为互联网连接导致网络攻击的发生,91%的单位承认内部员工滥用公司的互联网,高达94%的单位承认遭遇到了来自互联网的计算机病毒。
2 安全性设计的目标和需求
网络规划设计中的安全性分析立足于网络整体,考虑的是网络结构性的、技术性的安全问题以及在危机情况下网络运行的稳定性、可用性和可靠性,确保网络能够在负载变化、部分受损的情况下比较稳定、可靠地运行。根据IS07498-2中提出的建议,一个安全的计算机网络应当能够提供以下安全服务:
1)实体认证:实体认证安全服务是防止主动进攻的重要防御措施,对于开放系统环境中的各种信息安全有重要的作用。认证就是识别实体的身份和证实其身份的正确性;
2)访问控制:访问控制服务是针对越权使用网络资源的防御措施,实现机制可以是机遇访问控制属性的访问控制列表,或基于安全标签、用户分类和资源分档的多级访问控制;
3)数据保密性:数据保密性安全服务是针对信息泄露的防御措施,细分为信息保密、选择数据段保密与业务流保密;
4)数据完整性:数据完整性安全服务是针对非法篡改信息、文件和业务流而设置的防范措施,保证资源的可获得性,分为连接完整性、无连接完整性、选择数据段完整性;
5)防抵赖:防抵赖安全服务是针对对方进行抵赖的防范措施,可用来证实发生过的操作,分为对发送防抵赖、对递交防抵赖与公证。
3 网络安全设计
根据以上的分析,对城域网的网络安全提出以下设计方案:
1)网络互联互通分析及安全控制
如果两个内部客户服务器之间二层能够互通,那么两者之间的三层互通是直接的,不需要经过路由器。因此,路由器的三层防火墙不能生效,在没有任何安全措施的情况下,各种攻击方法都可以使用。因此,最好让内部各客户服务器在二层完全隔离。采用VLAN在二层隔离了两个内部客户,他们只在三层互通,这时路由器的三层防火墙也可以生效了。因此,目前有了两个安全措施:VLAN和三层防火墙。
2)路由认证和保护
目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。MD5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MDS算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。OSPF就支持基于MD5的路由认证。
BGP区别与内部网关协议,它是目前最为流行的外部网关协议。为了提高BGP的可靠性,BGP协议采用TCP来提供可靠的连接,也因此BGP本身的刷新报文就不再需要可靠性保证了。
为了防止被欺骗的TCP分段进入到连接流中,从而对BGP的连接进行攻击,TCP为BGP提供了“TCP MD5签名”选项。“TCP MD5签名”选项的意思就是说,在每个TCP分段中加入一个MD5的摘要,摘要的信息仅仅能够被连接的对端所识别。从而增强了基于TCP连接的BGP的安全。
3)关闭IP功能服务
因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,刺探网络结构。因此,设备应能关闭IP源路由选项功能。
重定向开关:网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。因此,设备应能关闭ICMP重定向报文的转发。
定向广播报文转发开关:在接口上进行配置,禁止目的地址为子网广播地址的报文从该接口转发,以防止攻击。因此,设备应能关闭定向广播报文的转发。缺省应为关闭状态。
ICMP协议的功能开关:很多常见的网络攻击利用了ICMP协议功能。ICMP协议允许网络设备中间节点(路由器)向其它设备节点和主机发送差错或控制报文:主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂,因为ICMP中一些消息已经作废,而有一些消息在基本传送中不使用,而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。
4)基于端口的验证
基于端口的验证,是由工EEE进行标准化的验证方法,标准号是802.1x。802.1x用于交换式的以太网环境,要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时,应对用户名、密码等关键信息进行加密传输。在运营过程中,设备也可以随时要求客户重新进行验证。
支持端口验证的设备应满足如下要求:
识别并支持源、目的地址确定,VLAN TAG要求等;
支持受控端口与非受控端口,并根据数据帧类型送入不同的端口;
支持受控端口在端口控制参数下的行为;
支持Radius验证。
5)设备安全防护
口令管理:为防止对系统未经授权的访问,系统必须具有完善的密码管理功能。
虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力,但在设备本地进行密码分配和管理仍是设备本身应具有的安全特性。这里只描述本地密码管理。口令的密文显示:若系统的配置文件以文本方式进行保存,则在配置文件中,所有的口令都必须以密文方式显示和保存。
[1]龚俭,陆晟,王倩编著.计算机网络安全导论.第1版.东南 大学出版社,2000,8.
[2]陈光军主编.数据通信技术与应用.第1版.北京邮电大学出 版社,2005,8.
[3][美]Kathy Schwalbe著.IT项目管理.邓世忠,等译.2 版.机械工业出版社,2006,1.
TP393
A
1674-6708(2010)23-0204-02