万星

中国电信股份有限公司眉山分公司

【摘 要】进入新世纪以来，市场变迁，我国的IP城域网的发展进入了一个新的阶段。以前人们对IP城域网的需求主要为宽带，到如今逐渐向质量与可靠，有广泛业务的不间断网络通信转变。网络安全作为网络质量的基础之一，已愈发受到运营商的重视。在银行、政府、支付等特殊的企事业单位中，对IP城域网的网络安全提出了更高的要求，间接的推动了IP城域网网络安全的发展建设。本文从IP城域网网络安全的现状出发，分析了几个常见的网络攻击方法并简单的介绍了目前应对网络攻击的安全防护措施。

【关键词】IP城域网；网络安全；防护措施

从目前的分析来看，制约IP城域网发展的重要因素之一就是网络安全。最近几年，网络安全事件发生的频率在逐年升高，造成的损失也不断升高，因此面对如此严峻的网络安全形势，必须对网络安全大力度的加以整治。

1 .IP城域网网络安全的现状

1.1IP城域网的概况

一般而言，城域网主要由三个层次构成，分别为核心层、汇聚层以及接入层。

这三个层次在IP城域网中各自承担着不同的功能，他们是IP城域网中不可缺少的一部分。IP城域网的核心层面临着路由安全与核心层的设备自身安全等主要安全问题；汇聚层又称为控制层，它主要面临的网络安全问题是路由安全、异常流量的抑制以及用户的业务安全和对用户访问的控制；构成接入层的主要是一些二层的接入设备，接入层面临的网络安全问题是用户的攻击行为与对广播风暴的抑制。

1.2IP城域网主要存在的风险

随着目前网络的不断普及，城域网的用户快速增加，网络安全问题就凸显出来，这些问题主要体现在五个方面：（1）用户端引起的流量攻击问题，（2） 用户管理接入问题，（3）大量垃圾邮件挤占网络带宽，（4） 大量出现以占用带宽为目的的应用，（5） 网络安全的管理问题。

1.3IP城域网的安全现状分析

目前IP城域网的安全主要面对着以下的几个方面的问题：（1）关键设备（如核心设备）以及关键链路（出口城域网链路及BRAS/MSE上行链路）是否冗余（3）对核心层、汇聚层以及接入层的管理混乱，导致用户随意接入，（4）网络设备在某些功能上存在缺陷。（1）网络终端的防护能力薄弱，（2）对网络缺乏相应的安全监控，除认证计费外，多数网络处于开放状态，

2.常见的网络攻击手段

常见的网络攻击手段主要有地址欺骗、端口扫描以及应用层攻击，這些网络攻击对IP城域网的网络安全造成了很大的威胁。

2.1地址欺骗

IP地址欺骗又被称为身份欺骗，网络攻击者把真实的IP地址进行切状，并发送特定的信息，扰乱正常的信息传输。IP地址欺骗也可以利用一些信息更改网络的路由信息，从而达到窃取信息的目的。

2.2端口扫描

端口扫描是网络攻击者攻击网络的主要方法之一。这个方法就是攻击者们利用公共公开的网络安全工具对网络系统进行较大规模的端口扫描，进而获取相应的信息。攻击者们用这种方法攻击IP网络，会占用大量的系统资源，会对正在正常使用的设备造成较大的危害。

2.3应用层攻击

网络攻击者们使用应用层攻击的直接对象就是网络系统的服务器，应用层攻击的条件相对较高，因此应用层攻击者多为这个系统程序的初始设计者。他们可以再服务器的操作系统中制造一个后门，绕过正常程序达到目的，而特洛伊木马就是一个典型。

3.应对网络攻击的安全防护

3.1搭建IP城域网网络安全架构

IP城域网主要的安全隐患来自各个层次。针对核心层，我们需要做到以下几个方面（1）选择高可靠高性能核心路由器（2）做好冗余措施，避免单点故障，（3）选择合适的路由协议，提高网络可靠性及效率（4）充分利用访问控制列表（ACL）等措施做好流量过滤机流量攻击防范。

针对业务控制层，（1）BRAS/MSE上行到核心路由器链路必须冗余，同时起到链路安全及流量负载分担功能（2）强化访问控制列表（ACL），同时进行一些设置，以过滤或阻止某些攻击企图，通过关闭不必要的服务降低风险。

针对接入网，（1）防止环路，尽量减少二层VLAN透传（2）采用QINQ方式，有效隔离用户，防止ARP攻击等。

另外，需在全网做好黑洞路由等安全防护策略；同时对各级设备都应注重强权限管理，加强用户名、密码、权限等访问控制手段。而且对所有网络设备配置及各类数据都必须进行及时有效的备份。

3.2应对网络攻击的主要技术策略

3.2.1设备防护。

设备是一切的基础，对设备的安全进行防护是构建IP城域网网络安全的主要措施之一。对设备我们需要实行最小化的服务原则，在使用设备时，关闭设备上一些并不需要的功能服务。在认证方面使用单点登录集中认证的方法控制维护人员的远程访问，同时远程访问需使用SSH方式，简介后还需要有相关的信息提示。

3.2.2接入层防护。

接入层相当于网络终端与IP城域网的一堵墙，要想对网络终端进行隔离就必须把接入层这堵墙建好。对接入层的建设主要是加强对L2网安全防护，特别加强对H用户接入以及网吧接入的管理工作。尤其对网吧的管理，现网已经出现不止一次因为网吧遭受攻击而影响其接入的那台汇聚交换机甚至是BRAS瘫痪的情况。这就要求全网部署好防流量攻击策略等。

3.2.3计费认证系统防护。

相对其他缺乏安全监控的网络来说，认证计费系统的安全防护工作还是做得很好。计费认证系统防护方面我们需要对各个地市的计费认证系统进行集中的管理，对网络的访问实现对不同业务主机的安全防护，定期的对认证计费系统进行安全的扫描，对认证账号、IP进行保密。

4 .结论

在新世纪下整体的IP网络需要发展，但是IP城域网的网络安全一定程度上制约着整个IP网络的发展，因此解决IP城域网的网络安全问题势在必得。为了提高IP城域网的网络安全水平，必须根据实际情况，制定相应的网络安全应急机制，对整个城域网制定相应的应急预案，提高IP城域网整体对网络安全的应对能力，做到防患于未然。

参考文献：

[1]辛荣寰.中国通信学会信息通信网络技术委员会2003年年会论文集[C]. 2003.

[2]城域网网络架构优化研究[J]. 冯南梓. 网络安全技术与应用. 2017（03）：98-99.

[3]基于IP城域网的优化策略及发展应用[J]. 孔莹. 中国新通信. 2015（04） ：101-102.