IP城域網的網絡安全及其實施策略

張靳松 鄭曉梅

中國聯合網絡通信有限公司唐山市分公司

IP城域網的網絡安全及其實施策略

張靳松 鄭曉梅

中國聯合網絡通信有限公司唐山市分公司

由于技術和專業的限制，IP城域網建設初期網絡結構相對簡單，設備性能有限的，可提供用戶使用的業務類型較少。運營商長期處于鋪網、圈地的狀態，較少關注網絡安全性。隨著寬帶提速、光網城市的推進，用戶規模越來越大，原有網絡結構、設備性能的一些弊端逐漸顯現出來，IP城域網網絡安全風險越來越大，網絡安全問題正逐步成為影響網絡正常運行、業務順利發展的重要因素。本文主要對IP城域網網絡安全及其實施策略進行分析和探討。

IP城域網；網絡安全；實施策略

1 城域網的論述

城域網英文簡稱MAN，通常使用一種與LAN相似的應用技術，后來人們將其從LAN中單獨列了出來。IP城域網具有覆蓋面廣和靈活性強的特點。城域網就是指在城市范圍內，以ATM和IP電信技術為基礎，以光纖作為傳輸媒介，集數據、語音和視頻服務于一體的高寬帶多功能的多媒體通信網絡。通常將城域網分為三個層次：核心層、匯聚層和接入層。①核心層主要提供高寬帶的業務傳輸，完成已有網絡的互相連通，其特征為寬帶傳輸。②匯聚層的主要功能是給業務接入點提供用戶業務數據的匯聚和發散處理，同時實現業務的服務等級之間的分類。③接入層具有多種接入技術，能夠進行寬帶和業務分配，實現用戶的技術接入，完成接入點的復用和傳輸工作。傳統意義上來講，IP城域網滾動規劃的突出部分在于如何處理好寬帶業務的規劃建設，做好城域網骨干網的保護工作。

2 IP城域網所面臨的安全威脅

2.1 IP地址欺騙攻擊

這種網絡攻擊又稱為身份欺騙，攻擊者一般是利用真實有效的IP地址，將其偽裝成其他用戶，并發送某些特定的報文來對正常的網絡數據傳輸進行干擾，或者通過某些路由報文來對路由信息進行更改，以達到竊取用戶信息的目的。

2.2 應用層攻擊

此種攻擊方式的攻擊者通過在服務器的應用系統或者操作系統中設置后門，利用該后門攻擊者能夠繞過正常的訪問從而對系統進行控制。這種攻擊目標直接對準應用層服務器的攻擊方式，其攻擊者往往就是那些設計應用層系統軟件的程序員。特洛伊木馬攻擊就是一個典型的應用層攻擊范例。

2.3 DDOS攻擊

DDOS攻擊目前處于上升趨勢，攻擊者通過大量報文的發送來對用戶有限的帶寬進行消耗，從而阻止用戶對網絡資源正常訪問和使用，這種攻擊已經成為IP城域網安全管理的重要威脅。①PING報文攻擊。通過發送大量PING報文來占據用戶的帶寬使得系統無法對用戶正常的業務需求進行處理。②SMURF攻擊。通過將要攻擊的主機地址作為源地址在網絡進行傳播，使得許多系統對其響應并發送大量信息給所攻擊的主機。③SYN洪水攻擊。通過利用TCP協議的漏洞來進行攻擊，不僅難以處理，也會造成較大的危害，由于SYN洪水攻擊而導致網站癱瘓的案例比比皆是。

3 網絡安全的實施措施方案研究

3.1 提升網絡數據傳輸的安全性

在寬帶網絡當中，一般的來講是將主干網絡當成是安全的網絡，而主要的威脅，一般都是來源于傳統的以太網絡當中。網絡的分段，是一種控制網絡廣播風暴的主要技術手段，也是全面的保證網絡安全的主要方案措施，通過路由器以及交換機等將網絡進行分段，并且使得單播包僅僅在兩個有限的節點當中進行數據的傳輸，達到防止網絡威脅、降低安全隱患的目的和效果。劃分VLAN，則是將不同的用戶之間存在的二層交換設備進行隔離，通過這樣的方式，只能夠通過廣播，才能夠實施的攻擊技術手段將難以通過此種類型的端口對其他用戶進行攻擊。最后則是使用VPN，其可以在公用IP網絡之上建立一個邏輯點，并且建立出相應的隧道，運用加密技術，通過隧道傳輸數據并且對此數據進行加密，保證數據的安全性以及數據的私有性。

3.2 使用嚴格的用戶接入認證措施方案

這一點是全面的保證網絡安全性的重要措施。使用嚴格的用戶接入認證技術措施，采用基于用戶的訪問控制技術，則可以達到全面升級網絡安全的目的和效果。現階段所使用的認證方式有三種，其各自具有優點和缺點，需要根據網絡的實際情況以及各項技術的特征，綜合性的考慮分析并且擬定最終的方案。

3.3 保護網絡基礎設施

保護網絡基礎設施也是一項提升網絡安全性的重要手段。首先，需要保證管理接口的安全化，其次，還需要加強賬戶以及密碼等的管理，采用集中認證的方式，對其進行改進和完善。同時，關閉網絡當中不使用的功能，諸如關閉ARP代理服務功能等，來達到增強網絡安全性的目的和效果。最后，則是保護設備的物理安全，在網絡之上的每一個設備，都需要制定一個詳細的物理安全措施，進而保證一系列安全策略的開展，并且提高接入層交換機設備的安全性，在交換機之上的安全管理，使用來進行未授權訪問的控制和管理，來進一步的提高網絡的安全以及運行工作的可靠性，達到最終的安全效果。

3.4 安全檢測與實時監控

安全檢測主要包括系統自身的漏洞檢測、外部入侵檢測和病毒檢測。漏洞檢測應該定期進行，當系統發生變化，如安裝新軟件之后也應該進行漏洞檢測。入侵檢測是通過計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。應該在關鍵的服務器(如Radius)上安裝入侵檢測代理，并將入侵行為記錄進系統的日志，日后進行分析。病毒同樣會給系統帶來安全威脅，所以病毒檢測也是系統必須長期進行的日常維護工作。實時監控是一種入侵檢測機制，它的功能包括確認或查驗安全策略的正確實施及實時監測網絡的異常現象。

結語

在寬帶IP城域網的建設中，特別是網絡建設初期，由于發展業務的迫切需要，往往因對網絡的安全性不夠重視而缺乏必要的安全管理。但是，隨著用戶數的增加和用戶業務種類的不斷增多，運營商和用戶將越來越重視網絡和信息的安全性。因此，認清網絡存在的安全問題和潛在威脅，采取相應的技術措施和安全管理策略，對于保障網絡的安全十分重要。

[1]楊儉.IP城域網路由協議改進的平穩過渡研究[D].吉林大學，2013.

[2]林浩.IP城域網本地優化及保護策略探討[J].電信科學，2014，S1：141-147.