层层布防提升DCN网安全

2021-07-22王贤锋

江苏通信 2021年3期

李明刘涛王贤锋

中国电信股份有限公司徐州分公司

0 引言

DCN网（Data Communication Network，数据通信网络）是中国电信内部IT系统的基础承载网，为电信业务、营业、计费、网管数据传输、多媒体通信等系统提供传输通道和通信平台。徐州DCN网2005年之前是通过2M等方式互联的独立的专网，由华为2600路由器、华为2016或2403等交换机组成。2005年进行了扩容，在端局增加了部分华为3528、3352交换机，随后以OLT（optical line terminal，光线路终端）设备为核心的接入网大规模部署，网络延伸到各个乡镇局点。DCN网用户可以通过LAN（局域网）或PON（无源光纤网络）的方式接入城域网，通过MPLS VPN（Multi-Protocol Label Switching Virtual Private Network，基于多协议标签交换技术的虚拟专用网）承载。在城域网内采用两台高性能的华为NE40E作为ASBR（Autonomous System Boundary Router，自治系统边界路由器）对本地网DCN业务的路由进行汇聚，进入CN2（Chinatelecom Next Carrier Network，中国电信下一代承载网络）网络，接入省DCN网。网络拓扑如图1所示。

图1 徐州本地网DCN网拓扑

徐州DCN网主要用途主要有三个方面：

（1）办公：主要用于员工办公使用，包括MSS（Manage Support System，管理支持系统）、BSS（Business Support System，业务支持系统）、OSS（Operation Support System，运营支持系统）、OA（Office Automatio，办公自动化）等系统。

（2）生产：主要用于各设备、网管使用，包括传输网管系统、动环监控等。

（3）营业：主要用于营业厅业务办理，包括自有厅、合作厅、代办厅等。

1 DCN现网安全状况分析

1.1 DCN网面临的安全隐患

（1）企业信息化、动环监控、设备网管等对DCN网的需求将长期存在，但目前的接入交换机已运行15～20年，对于一张长期存在的网络，需要及时替代升级。

（2）各需求部门组网方式随意性很强，末端接入混乱，网络区域边界不清晰，容易存在广播风暴，二层环路等故障点（如图2所示，多台交换机串联在一起）；网络资源比较分散，IP地址各部门混用，关键数据分散管理，部分通信资源无法共享，扩展性差；再加上工作点分散，私自更换IP地址，容易造成资料不准，资产备案困难，出现障碍无法准确定位。

图2 DCN网末端接入混乱

（3）本地网DCN网出口没有配备防火墙，出口路由策略ACL（Access Control Lists，访问控制列表）配置粗糙，访问端口策略不合理，容易受到网络攻击，容易导致产生安全漏洞的端口暴露在整个DCN网内。

（4）DCN网IP地址的利用率低，只有新增没有释放，缺少IP地址的有序管理，造成IP资源浪费，剩余可用地址紧张，已经影响到后期业务开放。

总之，资源不准确、接入无管控、无网络安全防护、网络私接、故障定位难、无法溯源、缺少IP有序管理、IP资源浪费等问题是目前徐州电信DCN网络存在的风险点。

1.2 提升DCN网安全的办法

（1）根据DCN网的用途，利用MPLS VPN技术划分多个域，各业务在城域网内独立运行。

（2）利用DCN网出口的两台ASBR设备，在不新增防火墙的前提下，可以通过配置路由、ACL、白名单等方式进行全网的安全防护。

（3）生产、营业用DCN网，就近接入专线交换机或接入FTTH网络。采用专线电路的方式受理开通。IP地址需求量大的局点配置专用DCN网接入交换机。

（4）除生产和营业用DCN网，其余办公用DCN网一律采取PPPOE（Point-to-Point Protocol Over Ethernet，以太网上的点对点协议）拨号方式接入DCN网，一人一号，采用VLAN（Virtual Local Area Network，虚拟局域网）+MAC（Media Access Control Address，局域网地址）绑定，方便管控。其他人员如要访问DCN网一律申请FTTH（Fiber To The Home，光纤到户）链路接入，采用拨号方式，VLAN+MAC绑定。

（5）采用固定IP地址接入的需要严格履行IP资产管理、报备手续，在地址启用、撤销、变更时需要及时在电信自用IP资产管理系统中同步变更。

（6）员工安全意识欠缺不容忽视，需要加强管理，很多网内运行的系统平台存在敏感信息泄露、弱口令、开放非用端口等安全问题。

2 解决措施

2.1 DCN网安全域的划分

针对DCN网IP地址的用途分配不同，划分4个安全域，彼此隔离，并分配不同的权限：

（1）办公域，采取VPDN（Virtual Private Dial Network，虚拟专有拨号网络）的方式取代配置静态IP方式接入。城域网全区BRAS（Broadband Remote Access Server，宽带接入服务器）做VPDN的LAC（L2TP Access Concentrator，L2TP访问集中器），核心机房新建一台BRAS做LNS（L2TP Network Server，L2TP网络服务器），在省AAA（Authentication、Authorization、Accounting，验证、授权和计费）系统上新开VPDN-DCN网域名及用户账号（域名xzdxdcn.js，用户账号采用“电信办公手机号@域名”方式）。用户进行拨号在LAC上进行一次认证，然后在LNS上进行二次认证并获得IP地址，原理如图3所示。每次都要通过省AAA服务器进行认证，省AAA服务器会对用户账号一次认证、二次认证的成功失败情况、分配的IP地址、以及用户的接入信息进行记录，借此可以实现IP地址的溯源，符合网络安全管理的规定。办公域的权限可以访问中国电信DCN网内所有资源，但需要部署80、8080、443、21、23等应用端口和常见的病毒端口封堵，提高安全性。

图3 DCN拨号改造原理图

（2）生产域，需通过营业受理光纤VPN专线业务方式开通，为保证生产，对原有固定IP地址尽量不修改，但对地址段进行了规整，缩小了掩码，尽量减少冲突域，并且从原有办公网接入中独立出来，建立新的VPN实例2980242，在ASBR上采用白名单的方式，控制生产域对DCN网络的访问。生产域的权限只能访问各类网管、操作各类终端，权限最小。

（3）营业域，通过营业受理光纤VPN专线业务，受理时使用VPN实例ldcn-db，营业域权限只能访问营业系统，访问的权限由企业信息化部赋予。

（4）专线域，对于非办公、生产和营业外的，对固定IP需求的单位，单独划分一个域，通过营业受理光纤VPN专线业务，受理时使用VPN实例ldcn，需求者需要提供详细的访问控制列表，在用户接入的BRAS子接口上最细化控制。专线域的权限只能访问固定的资源和被固定的资源访问。

2.2 路由策略配置

在徐州两台ASBR到CN2的端口上做策略路由配置，并且在BGP中严格路由收发策略，如图4所示。

图4 路由策略配置

2.3 DCN网设备和IP资产纳管

（1）徐州DCN网内共55台DCN网设备、1973条DCN网用电路（包括ASBR与CN2互联电路）纳入IPOSS网管，实现实时监控，便于障碍处理。

（2）根据集团公司、省公司关于《关于开展2020年云网运营能力和客户感知双提升专项行动的通知》、《关于发布 DCN 网络优化整治实施方案的通知》、《加强 DCN 网络 IP 地址管理工作的通知》文件要求，DCN网IP地址必须实名制登记，通过营业受理的光纤VPN专线，电路开通之后需进行IP资产的登记，明确IP地址的使用人、管理人、使用用途，备案的IP地址包括网络地址、网关、广播地址、已分配使用地址、已分配未使用地址等，如有变化，及时申请变更。目前已实现10931条IP地址资产纳入自用地址管理系统。纳入管理系统的IP资产，定期进行漏洞和病毒扫描，确保安全。

2.4 加强员工安全意识培养

对全体员工进行信息安全方面的培训，尤其对于密码策略选择和防范社会工程攻击等领域加强培训。各部门设立专兼职的安全员，分公司专职安全员每月进行全网的漏洞扫描，组织进行整治和系统补丁更新。

3 经验总结

3.1 徐州DCN网安全得到极大提升

根据集团和省公司的要求，徐州结合本地DCN网特点，通过优化网络拓扑，划分DCN网安全域、优化配置路由及ACL策略，IP资产报备，员工安全培训等措施来提升徐州DCN网安全，采用零投资的方式实现了和防火墙一样的效果，徐州电信DCN网已初步构建成动态的网络安全体系，为网络的安全运行提供了强有力的保障，其具备的特点如下：

（1）节省投资、利旧线路、避免浪费，尽量利用员工的原有线路进行VPDN拨号改造，减少员工布线工作；

（2）区分安全域，电信员工自用、代理及外包单位、生产用IP的接入线路和网段地址分离，控制不同网段可访问范围，最小授权；

（3）用户出口统一管控、统一限制非法端口，保证电信自用网络的安全性；

（4）对现有SR/BRAS等核心设备的改动较小，不影响现网业务；

（5）提高IP资产管理准确率、确保溯源能力，解决以往部分区域追查不到具体责任人的问题。