小議IP城域網網絡安全

劉 鐸

摘要 本文從網絡結構上,簡要分析目前IP城域網面臨的網絡安全問題及解決的部分措施。

關鍵詞 城域網;匯聚層;接入層;網絡安全

中圖分類號 TP309文獻標識碼 A 文章編號1674-6708(2009)08-0048-02

近年來,隨著社會信息化進程的加快,企業網絡化應用開始向縱深發展,各種新舊業務和應用的需求不斷豐富,進而對網絡帶寬產生更高的需求。目前,骨干網帶寬已經比較豐富,寬帶接入手段多樣化,城域網的安全問題作為為用戶服務的根本顯得越來越重要。隨著寬帶互聯網業務的發展,在獲得了越來越多企業和個人青睞的同時,網內用戶數越來越多,用戶類型越來越復雜,網絡安全問題開始顯得日益突出,如何把黑客和病毒等拒之于網外,不讓其對城域網的安全造成隱患也成為了急需解決的問題。

IP城域網一般分為3個層次:核心層、匯聚層和接入層,其中的各個層次承擔了不同的功能。根據不同網絡層次的不同功能,每個層次都面臨不同的安全問題。核心層主要面臨的安全問題是路由的安全及核心層設備自身受攻擊的問題;匯聚層主要面臨的安全問題是路由的安全、各種異常流量的抑制、用戶業務的安全,以及用戶訪問的控制;接入層主要由一些二層接入設備構成,其主要面臨的安全問題是一些基于二層協議的用戶攻擊行為和廣播風暴的抑制等。

核心層擔負著網絡核心承載的功能,所以必須充分保證網絡的連通性和高度的可靠性,提供必須的網絡冗余功能。在城局網關鍵的出口鏈路必須具備冗余設備,多條鏈路連接同時工作,確保在故障發生能夠實現自動愈合,增強對病毒和黑客的防御力量,使整個網絡變得更加穩定可靠。另外,核心層設備還要采用一些安全策略,以保障網絡的安全可靠,例如:

1)網絡設備采用多極安全密碼體系,限制非法設備和用戶登錄;

2)實現路由認證,保證路由協議安全,支持SNMP,安全網管;采用訪問控制列表策略,過濾異常流量,保證設備核心的安全;

3)采用如mrtg等流量監控手段,監測異常流量。

匯聚層負責匯集分散的接入點進行數據交換,提供流量控制和用戶管理功能,作為城域網的業務提供層面,是城域網最重要的組成部分。匯聚層設備是用戶管理的基本設備,也是保證城域網承載網和業務安全的基本屏障,更是保障城域網安全性能的關鍵。

匯聚層設備的安全特性主要體現在以下幾點:

1)用戶接入網絡的安全控制,包括加強口令等訪問控制手段;

2)調整BAS的部署策略。進行BAS邊緣化,訪問控制可以在邊緣BAS上進行,如果仍然保持集中方式,可以考慮在BRAS后部署防火墻,可以將原有BAS訪問控制功能轉移到防火墻后,這樣可以降低BAS負載及訪問控制列表細化。限制每個VLAN下的用戶數量,減少PPP建立過程中廣播包的廣播范圍,提高網絡性能,BAS放到邊緣后,VLAN ID數目受到的限制問題也得到了緩解。細化的三層訪問控制在BAS設備后端的三層設備上進行;

3)部署小容量BAS服務器,專線用戶的VLAN在城域網匯聚層終結。充分利用寬帶接入服務器BAS支持802.1q的特性,來實現對不同用戶的服務,減小廣播域,提高城域網的整體性能。在用戶側部署中小容量的BAS服務器,可把原來的超大二層網絡分成多個小型的二層網絡,降低管理的難度和復雜度;將寬帶專線用戶的VLAN在城域網匯聚層終結,這樣可以防止用戶的廣播包對骨干交換機的沖擊。基于LAN的專線用戶,通過專線直接連到網絡核心,當用戶發起廣播時,就會使核心網絡路由表產生波動,影響核心網絡設備的性能,所以建議在匯聚層終結,再把信息上傳到核心層;

4)利用BAS+AAA驗證服務器完成對用戶的身份驗證, AAA綁定一般采用的都是靜態綁定方式,而動態綁定一般是在接入設備上實現的,綁定技術的有效應用,主要用于解決賬號盜用,用戶定位等問題。通過上述認證機制實現基于用戶的訪問權限控制、計費和服務類型控制;

5)對于DLSAM撥號用戶可實現VLAN、端口和用戶賬號綁定,進而防止個人用戶的帳號、密碼被盜用,也可確定出用戶上網的位置,為問題的解決提供線索;

6)支持限制用戶端口最大接入IP地址數、PPP會話數、TCP/UDP連接數,有效防止DOS類的攻擊;

7)支持訪問控制列表,禁止部分用戶訪問或有選擇地屏蔽網絡服務;

8)對用戶帶寬進行控制。

接入層通過各種接入技術和線路資源實現對用戶區域的覆蓋,提供多業務用戶的接入并配合完成用戶流量帶寬的控制功能。

設備上采用的安全手段包括:

1)使接入側用戶相互隔離,以保證接入的安全性,防止用戶間的相互攻擊。由于以太網技術本身的特點,端口隔離的存在是必要的。無論是物理端口還是邏輯端口,現階段有很多技術都能實現端口隔離功能,有的采用物理手段,有的采用邏輯手段。采用物理手段則能實現完全的隔離功能;邏輯手段一般是基于2層幀結構技術,也比較安全。可以說,端口隔離是目前一種保護接入用戶內部安全的有效手段。在接入層隔離開用戶之間的訪問并不是為了限制用戶的使用,而是要防止用戶之間的攻擊。無論是針對哪種用戶,合理而又靈活的利用端口隔離技術總能有效地控制來自內部、外部用戶之間的安全問題。

2)采用一些端口檢測的措施,防止用戶環路的發生。很多用戶不知道環路帶來的危害,所以環路經常發生在缺少專業技術人員維護的網絡中。越是接近用戶的設備檢測周期越應該短一些,上層設備的檢測周期應該長一些。這樣就能減少一些因為上層設備先檢測到環路禁用端口造成下層整個交換機用戶都被斷掉的可能。

在城域網設計、建設和運行維護的各個階段,都應采取統一的安全技術策略,而各VPN網根據所統一的安全策略和各自不同業務特點,采用相應的安全防范措施和技術手段,以滿足城域網全網的整體安全要求以及各專業系統自身的安全需求。城域網的安全保障可考慮采用以下幾種技術策略來實施:

預防——采用認證授權、訪問控制和路由隔離等技術,防止外界對城域網網絡的各種非法訪問,避免入侵者對城域網網絡資源的破壞和竄改;采用VPN構建虛擬專用網,為各類用戶專用網提供有效隔離。

監測——通過監控和定期檢測等主動防御措施,及時發現城域網在運行中可能存在的各種安全漏洞,進而采取相應措施。

調整——對各項日志和管理信息進行統計分析,發現問題時,及時對城域網進行修改,消除可能的安全隱患;根據網絡安全技術的發展和各項業務新的要求,及時調整城域網全網安全策略的實施。

總之,寬帶城域網的網絡安全是一項艱巨而持久的任務。對網絡安全問題必須通盤考慮,進行體系化的整體安全設計和實施。既要充分考慮網絡的安全性能,考慮設備防攻擊的性能,有效運用設備相關安全特性,又要結合專用的安全產品,采取分區、多層安全保護措施。既要考慮設備安全和技術的因素,又要重視網絡安全人員在網絡安全方面所起決定性的作用。

內蒙古自治區第五屆自然科學學術年會開幕

2009年11月21日,內蒙古科技館報告廳座無虛席,來自自治區各大院校、科研院所、有關企業科技工作者、研究生及內蒙古第五屆自然科學學術年會獲獎論文作者及有關學會代表400人云集在此,參加內蒙古第五屆自然科學學術年會開幕式,并聆聽專家學者的報告。

本屆學術年會由內蒙古黨委組織部、內蒙古人事廳、內蒙古科技廳、內蒙古科協聯合舉辦。內蒙古政協副主席、內蒙古科協主席牛廣明,內蒙古科協黨組書記、副主席景建華、內蒙古科技廳副廳長馬強,內蒙古科協副主席陳天保以及其他主辦單位的相關領導出席開幕式。牛廣明發表了致辭,內蒙古科技廳副廳長馬強做了《內蒙古科技創新發展》的報告,東北大學機械工程與自動化學院工業設計研究所所長、中國機械工程學會高級會員、遼寧省機械工程學會機械設計分會秘書長、TRIZ研究會副理事長趙新軍教授做了《TRIZ—發明問題解決理論》的專題報告。

牛廣明主席在致辭中希望科協及所屬學會要組織和動員廣大科技工作者,樹立實現現代化的遠大理想,樹立民族自尊心和自信心,從個人、局部、眼前利益的束縛中解放出來,從滿足于跟蹤、模仿、外圍打工的桎梏中解放出來,大力加強原始性創新、集成創新和在引進先進技術基礎上的消化、吸收、再創新。要努力開創知識前沿的新領域,擁有一批自主知識產權,造就一批具有國際競爭力的人才、企業和品牌,為內蒙古經濟社會發展提供強大的科技支撐;希望科技界要抓住并用好本世紀頭二十年的重要戰略機遇期,投身科技創新的偉大洪流中,以科學發展觀為指導,牢固樹立和諧、創新、可持續發展的觀念,推動內蒙古經濟、社會、科技的快速發展;希望同志們大力普及科學知識,推廣先進實用技術,為人民造福,為構建和諧內蒙古,創新型內蒙古而努力奮斗。

趙新軍教授所做的《TRIZ—發明問題解決理論》是世界著名企業應用的解決發明創造問題的最新理論和方法,是目前解決技術難題、實現創新的最有力的工具之一。與其它創新原理或創新技法相比,它應用簡單方便,可操作性強,不僅可以直接用于解決工作中遇到的實際問題,還可以打破思維惰性、改變人們分析問題和解決問題的思路,提高人們的創新意識和創造能力。是企業實現創新、研發出滿足顧客需求產品的最有效的方法,參加年會的科技人員頗感興趣。

本屆年會的主題是:“和諧、創新、發展”。圍繞“提高自主創新能力,促進區域和諧發展”主題,大會組委會在全自治區范圍內開展征文工作,共征集論文565篇,涉及農牧林水等31個學科,經第五屆自然科學學術年會論文評審委員會評審,評選出優秀論文191篇,其中一等獎論文17篇,二等獎論文63篇,三等獎論文111篇。編輯出版了《和諧創新發展——內蒙古自治區第五屆自然科學學術年會優秀論文集》。內蒙古生物工程學會、內蒙古電機工程學會、內蒙古醫學會、內蒙古口腔醫學會等11個直屬學會也圍繞年會主題開展了形式多樣、內容豐富的分會場交流活動。11個直屬學會交流論文1 200多篇,參加科技人員約13 000多人,讓科技工作者獲得了先進的科技信息和知識,促進了相關學科科技進步。實現了“搭建學術平臺、推動科學創新、促進人才成長”的目的。

內蒙古自然科學學術年會每兩年舉辦一屆,為全區廣大科技人員提供了一個集中交流思想和施展才華的舞臺,已成為內蒙古自治區水平較高、規模較大的學術界盛會。在不斷推進科學思想的傳播和融合,科技成果的涌現和轉化,人才的培養和成長,促進科技人才脫穎而出,推動自治區經濟、科技、社會發展方面發揮了積極作用。