寬帶城域網建設及常見故障處理分析

郭斌

目前網絡安全問題日益突出，其原因在于電信運營寬帶城域網發展迅速。一些較為常見的安全問題已經能在BAS/SR設備上解決，常用手段有傳統IP地址欺騙、ARP欺騙等。而尚未解決的安全問題，已經嚴重干擾寬帶城域網的運行和業務發展，比如DDOS攻擊、垃圾郵件、低俗網絡等，并影響社會的良好運行，因此寬帶城域網的安全建設已經迫在眉睫。

【關鍵詞】寬帶 城域 安全 建設

1 寬帶城域網安全模型

信任域、非信任域以及隔離域共同組成寬帶城域網安全模型。信任域作為基礎網絡，隸屬于運營商，和電信業務網相互分離，防火墻是常被運用的設備，信任域有多種類型，如支撐系統、網管系統、智能業務平臺等。非信任域是基礎網絡，也隸屬于運營商，為客戶服務，主要應用于接入和業務，且是Internet網絡的組成部分，主要設備有基礎用戶接入、數據交換以及媒體網關，該網絡有時會脫離互聯網的控制。隔離域作為平臺目的在于實現信任域和非信任域的數據交互，該業務平臺種類較多，有web服務平臺、ftp服務器、dns服務器等等。信息傳輸的基礎是非信任域，作為基礎網絡，是城域網中的主要組成部分，起到很大的作用，因此，在安全模型的建立過程中，應當對非信任域予以重點考慮。

2 寬帶城域網安全分析

2.1 信任區域的安全

信任域的安全性較為關鍵，是寬帶城域網運用的重點，因此為保障其安全，應當采取相應的措施。一般情況下，信任域會受到多種攻擊，如網絡攻擊、網絡入侵以及病毒等。為保證信任域的安全，可以采用如下方式。第一，對防火墻予以部署，保證安全訪問策略的嚴格性，對此區域的訪問進行嚴格限制。第二，在系統軟件和應用軟件的挑選上予以嚴格限制，且予以配置，對操作系統和應用系統的漏洞和補丁情況予以關注，同時對進展情況予以監測。同時對系統和應用的服務對象范圍予以界定。第三，對網絡入侵監測系統予以關注，且進行部署，重點的監控對象是核心服務，若發生網絡攻擊和病毒，可以及時警報。第四，堅持完善網管系統，同時完善日志系統。第五，在處理主機系統問題上，應當運用雙機熱備份方式，同時應用系統和數據的備份工作也應當做好，且還應根據具體情況，進行需要設定，對系統工作予以恢復。

2.2 隔離域的安全

隔離域的作用在于能夠連接寬帶城域網和對外業務服務，業務應當具有足夠的對外開展空間，才能使安全的威脅降到最低，此時該域也是最容易受到破壞的部分。為實現安全性保障，可以采取以下措施。第一，對防火墻予以部署，保證安全訪問策略，其中分布式拒絕服務攻擊應當予以重視。第三，對服務器的安全漏洞予以修補，拒絕接入不必要的網絡服務。第三，同時做好系統和日志的備份工作。

2.3 非信任域的安全

作為傳輸網絡，非信任域和用戶的接入和業務直接相關。但是非信任域容易受到攻擊和不同病毒，其安全性存在重大威脅。主要可以從以下三個方面進行闡述，第一，網絡設備的系統資源將會增大網絡攻擊和病毒攻擊，造成CPU處理能力降低，形成網絡故障，導致用戶的報文丟失。第二，攻擊和病毒會導致資源消耗，如若采用TCP連接數資源，會對網絡服務器產生重大影響，且大大影響NAT設備。第三，對設備訪問控制過程中，黑客的攻擊性應當受到重視。目前為止，針對信任域和隔離域，已經逐漸采取了安全措施，同時寬帶城域網對非信任域的安全問題應當予以重視，尤其在城域承載網的安全建設問題上。

3 寬帶城域網安全建設及常見故障處理方案

3.1 防DDOS攻擊網絡部署方案

根據筆者的相關經驗，認為防DDOS攻擊網絡部署方案，可以從以下四個方面著手。第一，建立專門的清洗中心，將核心路由器予以盤掛和直掛，通過靜態的方式對指定流量予以防護，同時清洗設備還能夠對異常流量進行清晰，將該用戶端納入保護范圍。在本方案中，有不少優點，主要有部署簡單、成本不高等優點，且對用戶進行特定保護的過程中，需要做好深度、實時檢測和清洗工作，此時不會造成延遲防護，會產生比較好的效果，但也有不好之處，比如，靜態防護需要一定容量的清洗設備，且隨著流量的擴大，容量也增大，所以如果選擇直接部署方式，清洗設備的量將會成為清洗限制，因此這種方式一般較為適合小型網絡，對清洗流量要求不高。第二，同樣建立新的清洗中心，對進行城域網流量進行探討和分析，利用Netflow工具， 同時將該清洗中心在核心路由器上進行盤掛。對攻擊流量進行檢測，通過設備的自動下發引流策略，一直到達核心路由器設備，且將異常流量進行清洗，在清洗完成之后，還可以將流量進行回注。本方式的優點同第一種方式一樣，在成本上都消耗比較少。主要應用的區域是大型城域網以及IDC網絡，同時應當做好部署Netflow工作，其性價比都比較高。但也有缺點存在，因為Netflow技術并非十分成熟，技術上仍有瓶頸存在，因此在檢測攻擊時，會造成比較大的時間延誤，同時對采集有一定的要求，針對應用層進行攻擊識別，打那時其缺點在于不能識別小流量攻擊。此外，還可以通過DPI 深度報文全流量檢測對進入城域網流量分析以及針對寬帶組建專門建立VPN。

3.2 防止垃圾郵件安全方案

在寬帶城域網中，垃圾郵件的數量很多，要對該問題進行根治，需要做好幾方面的工作，比如對個人素質和意識進行提升是非常重要的方面。就目前來看，垃圾郵件對人們的生活造成了非常大的影響。主要表現在兩個方面，一是大量的垃圾郵件接收，使得用戶不能正常使用郵件，第二，網內用戶在向外發送垃圾郵件的過程中，一些無辜的用戶會被國際反垃圾郵件組織列入黑名單。筆者認為要解決以上兩個問題，可以從以下兩個方面入手，第一，通過選擇比較穩定的企業郵局系統，一個好的郵件胸膛呢，對整個垃圾郵件而言具有較好的控制能力，同時功能還較為齊全。此時，通過對反垃圾郵件引擎的設置，以及設置相應的規則，對該問題予以規制，從而在最大程度上對垃圾郵件予以控制。第二，在目前的城域網中加入一些反垃圾郵件的功能，主要的設備部位在后端系統功能模塊中，分析對象是用戶數據，同時如果發現大批量的相同郵件發送的情況，可以將該郵件的轉發進行限制。endprint