本篇文章是由《电子科技文摘》发表的一篇优秀电子期刊,坚持为社会主义服务的方向,坚持以马克思列宁主义、毛泽东思想和邓小平理论为指导,贯彻“百花齐放、百家争鸣”和“古为今用、洋为中用”的方针,坚持实事求是、理论与实际相结合的严谨学风,传播先进的科学文化知识,弘扬民族优秀科学文化,促进国际科学文化交流,探索防灾科技教育、教学及管理诸方面的规律,活跃教学与科研的学术风气,为教学与科研服务。
【摘要】随着互联网业务在电信网络的广泛应用和宽带互联网用户的快速发展,网络安全问题日益成为影响运营商网络正常运行和用户使用网络的重要因数。文章从IP城域网网络现状入手,分析IP城域网安全需求,并提出网络安全解决方案,确保整个IP城域网结构合理,易于管理维护。
【关键词】IP城域网 网络安全 网络安全防护
一、引言
由于技术和专业的限制,IP城域网建设初期网络结构相对简单,设备性能有限的,可提供用户使用的业务类型较少。运营商长期处于铺网、圈地的状态,较少关注网络安全性。
随着宽带提速、光网城市的推进,用户规模越来越大,原有网络结构、设备性能的一些弊端逐渐显现出来,IP城域网网络安全风险越来越大,网络安全问题正逐步成为影响网络正常运行、业务顺利发展的重要因素。本文主要对IP城域网的网络架构及网络需求进行分析,并对网络安全解决方案进行论述。
二、IP城域网网络安全整体情况
IP城域网网络分层结构现状
IP城域网是在城域范围内组建的,用于实现个人和企业用户的语音、视频、数据等多种业务接入、汇聚和转发,可独立进行管理的IP网络平台。包括城域骨干网、业务控制层和宽带接入网两部分。
城域骨干网:由城域核心路由器负责对业务控制层设备进行端口和流量汇聚,并作IP城域网到IP骨干网的流量转发出口。
业务控制层由宽带接入服务器(BRAS)与业务路由器(SR)两种业务接入控制点组成,主要负责业务接入与控制。
宽带接入网:是业务控制层以下,用户家庭网关以上(不含CPE)的二层接入网络。
三、IP城域网网络安全需求分析
目前IP城域网主要以Intemet业务为主,需重点考虑以下方面:
(1)对外需加强黑客防御,对内提升安全控制;
(2)业务层、网络层和用户层安全并重;
(3)合理规划网络流量,保障网络的可达性和可靠性;
(4)加强网络身份认证、访问授权;
(5)网络按需隔离。
四、IP城域网网络安全研究
IP城域网是城域业务接入和流量转发的综合数据网络,不同的网络结构和层次所面对的网络安全问题将有所区别,为控制网络中的安全风险,需要有针对性的采取不同的安全策略。
4.1 IP城域网核心层安全
由于核心层网络承担整个城域网出口流量汇聚和转发,为保证其网络安全性和可靠性,建议采用以下安全策略,包括:
采用路由和交换设备应保证全线速、无阻塞;
尽量采用加密方式实现设备或系统登录,并强化登录口令管理;
采用节点、机框、板卡和端口级冗余备份;
采用资源预留,分布式转发等技术提高设备系统安全性;
对异常网络流量进行实时监控,及时发现和解决问题。
4.2 IP城域网汇聚层安全
汇聚层业务控制点的安全性能主要体现在以下几个方面:
根据用户签约带宽配置线路速率,并通过限速和QoS等技术控制用户合法带宽;
对传输层和会话层的会话数和连接数进行总量限制,避免DoS/DDoS攻击;
通过加强密码、密钥等方式提高网络安全控制管理水平;
创建访问控制列表(ACI),根据安全需求有选择控制非法用户访问网络安全服务;
通过syslog溯源系统强化安全日志管理。
