寬帶城域網網絡安全與優化

劉 敏

中國鐵通日照分公司，山東日照 276826

寬帶城域網網絡安全與優化

劉 敏

中國鐵通日照分公司，山東日照 276826

隨著互聯網的快速發展，了解和研究互聯網的人越來越多，研究互聯網的人的意圖各不相同，來自互聯網的威脅開始出現，并且越來越嚴重。本文討論了寬帶城域網網絡的安全與優化。

寬帶城域網；網絡安全；優化

從我國的互聯網商業化之后，互聯網產業已經取得了很大的發展。網絡安全市場在2000年后開始成熟，據中國國家信息安全測評認證中心的預測，我國的信息安全市場2001年將高達50億元人民幣，其中加密、防火墻和防病毒是安全市場的三大主要支柱。目前，中國信息安全市場進入高速成長期，越來越多的企業意識到網絡安全的重要性。

1 網絡安全的重要性

互聯網在早期的主要任務是發展，發展是第一位的，安全問題提不上議程。由于互聯網特有的魅力，越來越多的人使用互聯網，互聯網應用發展很快，但技術發展還不充分，互聯網本身還很新，了解和研究互聯網的人還不太多，網絡安全問題也不突出。隨著互聯網的快速發展，了解和研究互聯網的人越來越多，研究互聯網的人的意圖各不相同，來自互聯網的威脅開始出現，并且越來越嚴重。

美國計算機犯罪調查機構(CSI)和聯邦調查局(FBI)的調查報告表明：91%的大公司和政府機構在過去的12個月內發現計算機安全問題，64%承認存在財務損失，當然還有礙于情面不愿意承認的，實際的數字比這個更高。導致財務損失的主要原因是機密信息的泄露和財務欺詐。70%的人承認是因為互聯網連接導致網絡攻擊的發生，91%的單位承認內部員工濫用公司的互聯網，高達94%的單位承認遭遇到了來自互聯網的計算機病毒。

2 安全性設計的目標和需求

網絡規劃設計中的安全性分析立足于網絡整體，考慮的是網絡結構性的、技術性的安全問題以及在危機情況下網絡運行的穩定性、可用性和可靠性，確保網絡能夠在負載變化、部分受損的情況下比較穩定、可靠地運行。根據IS07498-2中提出的建議，一個安全的計算機網絡應當能夠提供以下安全服務：

1）實體認證：實體認證安全服務是防止主動進攻的重要防御措施，對于開放系統環境中的各種信息安全有重要的作用。認證就是識別實體的身份和證實其身份的正確性；

2）訪問控制：訪問控制服務是針對越權使用網絡資源的防御措施，實現機制可以是機遇訪問控制屬性的訪問控制列表，或基于安全標簽、用戶分類和資源分檔的多級訪問控制；

3）數據保密性：數據保密性安全服務是針對信息泄露的防御措施，細分為信息保密、選擇數據段保密與業務流保密；

4）數據完整性：數據完整性安全服務是針對非法篡改信息、文件和業務流而設置的防范措施，保證資源的可獲得性，分為連接完整性、無連接完整性、選擇數據段完整性；

5）防抵賴：防抵賴安全服務是針對對方進行抵賴的防范措施，可用來證實發生過的操作，分為對發送防抵賴、對遞交防抵賴與公證。

3 網絡安全設計

根據以上的分析，對城域網的網絡安全提出以下設計方案：

1）網絡互聯互通分析及安全控制

如果兩個內部客戶服務器之間二層能夠互通，那么兩者之間的三層互通是直接的，不需要經過路由器。因此，路由器的三層防火墻不能生效，在沒有任何安全措施的情況下，各種攻擊方法都可以使用。因此，最好讓內部各客戶服務器在二層完全隔離。采用VLAN在二層隔離了兩個內部客戶，他們只在三層互通，這時路由器的三層防火墻也可以生效了。因此，目前有了兩個安全措施：VLAN和三層防火墻。

2）路由認證和保護

目前，多數路由協議支持路由認證，并且實現的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。MD5認證與明文認證的過程類似，只不過密鑰不在網絡上以明文方式直接傳送。路由器將使用MDS算法產生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發送出去。這樣可以保證沒有人可以在密鑰傳輸的過程中竊取到密鑰信息。OSPF就支持基于MD5的路由認證。

BGP區別與內部網關協議，它是目前最為流行的外部網關協議。為了提高BGP的可靠性，BGP協議采用TCP來提供可靠的連接，也因此BGP本身的刷新報文就不再需要可靠性保證了。

為了防止被欺騙的TCP分段進入到連接流中，從而對BGP的連接進行攻擊，TCP為BGP提供了“TCP MD5簽名”選項。“TCP MD5簽名”選項的意思就是說，在每個TCP分段中加入一個MD5的摘要，摘要的信息僅僅能夠被連接的對端所識別。從而增強了基于TCP連接的BGP的安全。

3）關閉IP功能服務

因為IP源路由選項忽略了報文傳輸路徑中的各個設備的中間轉發過程，而不管轉發接口的工作狀態，可能被惡意攻擊者利用，刺探網絡結構。因此，設備應能關閉IP源路由選項功能。

重定向開關：網絡設備向同一個子網的主機發送ICMP重定向報文，請求主機改變路由。一般情況下，設備僅向主機而不向其它設備發送ICMP重定向報文。但一些惡意的攻擊可能跨越網段向另外一個網絡的主機發送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的IP報文轉發。因此，設備應能關閉ICMP重定向報文的轉發。

定向廣播報文轉發開關：在接口上進行配置，禁止目的地址為子網廣播地址的報文從該接口轉發，以防止攻擊。因此，設備應能關閉定向廣播報文的轉發。缺省應為關閉狀態。

ICMP協議的功能開關：很多常見的網絡攻擊利用了ICMP協議功能。ICMP協議允許網絡設備中間節點(路由器)向其它設備節點和主機發送差錯或控制報文：主機也可用ICMP協議與網絡設備或另一臺主機通信。對ICMP的防護比較復雜，因為ICMP中一些消息已經作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息。因此ICMP協議處理中應根據這三種差別對不同的ICMP消息處理。以減少ICMP對網絡安全的影響。

4）基于端口的驗證

基于端口的驗證，是由工EEE進行標準化的驗證方法，標準號是802．1x。802．1x用于交換式的以太網環境，要求與客戶和與其直接相連的設備都實現802．1x。當應用于共享式以太網環境時，應對用戶名、密碼等關鍵信息進行加密傳輸。在運營過程中，設備也可以隨時要求客戶重新進行驗證。

支持端口驗證的設備應滿足如下要求：

識別并支持源、目的地址確定，VLAN TAG要求等；

支持受控端口與非受控端口，并根據數據幀類型送入不同的端口；

支持受控端口在端口控制參數下的行為；

支持Radius驗證。

5）設備安全防護

口令管理：為防止對系統未經授權的訪問，系統必須具有完善的密碼管理功能。

雖然幾乎所有數據通信設備都具有RADIUS或TACACS認證服務器進行口令管理的能力，但在設備本地進行密碼分配和管理仍是設備本身應具有的安全特性。這里只描述本地密碼管理。口令的密文顯示：若系統的配置文件以文本方式進行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。

[1]龔儉，陸晟，王倩編著.計算機網絡安全導論.第1版.東南 大學出版社，2000，8.

[2]陳光軍主編.數據通信技術與應用.第1版.北京郵電大學出 版社，2005，8.

[3][美]Kathy Schwalbe著.IT項目管理.鄧世忠，等譯.2 版.機械工業出版社，2006，1.

TP393

A

1674-6708（2010）23-0204-02