城域網網絡安全規劃設計

◆郭文雙

?

城域網網絡安全規劃設計

◆郭文雙

(天津津融小貸管理有限公司 天津 300000)

隨著時代的發展，現如今越來越重視城域網方面的問題。通過建設安全規范化的城域網，提高城域網個人網絡的安全性、可靠性，并加大了寬帶的使用率。本文從城域網的概念、城域網的發展這兩方面進行了深入研究。

城域網；網絡安全

0 前言

隨著現今城域網的普遍使用，城域網方面出現的問題也越來越多，為了保證網絡能夠安全正常的使用，需要各部門對網絡安全問題加以重視。根據網絡功能的差別，可將城域網分為核心層、匯聚層和接入層這三個層次。根據業務不同，可將城域網分為接入業務、寬帶上網業務及VPN業務這三種業務方式。而本文就是針對各層次出現的不同問題，進行分析討論，并提出相關建議。

1 城域網的概念分析

根據網絡功能的不同，可將城域網分為核心層、匯聚層及接入層這三個層面，同時因為各層的功能不一樣，所以各層網絡安全問題均不一樣。核心層存在的目的就是對網絡數據進行快速轉換，促使核心設備正常操作；匯聚層的主要工作就是保護整個網絡的安全運行，并利用合理有效的方案管理網絡，是整個城域網中的重中之重；而接入層則是通過對接入業務、寬帶上網業務和VPN業務進行接入，以降低網絡使用者對網絡造成的危害。利用有效的監控手段調整網絡安全，以達到網絡優化的目的。

2 網絡安全規劃設計對城域網發展的作用

2.1核心層的網絡安全

城域網中的核心層，是決定網絡數據能否正常快速交換的重要層次，且這一層次與多個匯聚層相連接，通過該層次與多個匯聚層進行連接，以達到網絡數據間的高效轉換，所以為了確保網路的正常運行，對該層次進行網絡保護是比不可少的部分，增加該層的保護功能。核心層的網絡安全主要考慮的問題是防止病毒入侵設備，而降低設備的操作性能，因此則需要對路由器這一網絡互連、數據轉發及網絡的管理器進行正確操作，以確保網絡使用更安全。因此則需要做到以下兩點措施。第一點是在路由器之間的協議添加認證功能。就目前而言，動態路由器是核心層與匯聚層連接之間采取最多的連接設備，現常用的動態路由器主要分為OSPF、IS-IS、BGP這三種。而動態路由器的缺點是路由器動態設置會隨著網絡的拓展而改變，會對路由表進行自動更新，如果相同設置的路由器設備加入網絡，該路由器會自動更改為網絡上的路由設置，這樣的行為可能導致網絡信息的外漏，嚴重的時候，會阻礙網絡上的路由表正常運行，導致網絡崩潰。為了有效解決相關問題的出現，則需要在路由器設置中添加身份認證，只有通過身份上的認證，同區域的路由器才能互相分享路由表上的信息，以此保護網絡安全。第二點則是遵循最小化服務的原則，關閉網路設備上不需要的服務。對此則需要做到以下幾點：（1）保證遠程訪問管理的安全，在路由器信息進行加密保護，防止外界惡意訪問的攻擊；（2）端口限制訪問，通過使用ACL端口進行訪問限制，在設備接口上添加數據訪問限制，增加網絡信息過濾系統，減少網絡病毒帶來的路由器資源耗損，防止網絡病毒入侵，促使網絡系統崩潰；（3）增強對網絡系統的檢查控制，目前采用最多的是SNMP V3協議進行網絡信息加密保護，在利用ACL控制SNMP訪問，只允許訪問設備信息，禁止復制設備信息，以有效檢查控制網絡運行情況；（4）禁止使用路由器不需要的服務，路由器主要分為軟件和硬件的轉發方式，轉件轉發的路由器是通過CPU軟件技術進行網絡數據轉發的，也就是利用核心技術進行的數據轉發，而硬件轉發的路由器時通過網絡上的硬件處理器進行數據轉發的，所以使用正確的路由器服務，減少不需要的服務，促進路由器高速運行。

2.2匯聚層的網絡安全

匯聚層是保護網絡安全運行的重要層次，通過合理有效的方式管理網絡，可以作為城域網中的管理層。為保證匯聚層能安全正常的操作，從接入網設備和各種類型用戶這兩方面進行分析，需要做到以下幾點。

第一點是接入網設備的安全，利用ACL控制接入網設備的訪問，增加對匯聚層端口的檢查控制，以達到對連接匯聚層的接入網設備的控制，確保接入網設備的安全。

第二點是寬帶小區設備的安全，為確保寬帶小區網絡設備的正常安全運行，需要采取以下幾點措施：（1）調整BAS的部署方案，將BAS邊緣化，對VLAN設置下的用戶數量加以控制，降低網絡危害的出現，優化網絡系統，從寬帶接入服務器中體現出QINQ技術的特征，減少匯聚層中虛擬局域網的傳播，因此BAS需要采用雙上行的方式保護網絡安全；（2）利用 BAS+AAA 驗證服務器檢驗網絡用戶的身份，防止賬號被盜情況的出現，幫助網絡用戶準確定位；（3）綁定PPPOE撥號用戶對VLAN、端口及用戶賬號的設置，以防非原有用戶對原有網絡用的賬號和密碼進行盜取使用，同時也可以對上網用戶位置進行準確定位；（4）為了防止用戶賬號出現非法共享和漫游資費的情況，需要寬帶接入服務器和個人用戶賬號在 radius 設備中進行圈定；（5）依據BAS的內存和實際情況決定保留流量數據的多少，并控制使用BAS設備的用戶數量，以保證網絡安全正常的運行。

第三點是從寬帶專線用戶方面，采取相關安全措施，對此可以做到以下幾點：（1）控制用戶端口連接的數量，以防止外界危害的入侵；（2）圈定使用用戶的基本信息，確定網絡用戶的位置，阻止非法網頁的入侵；（3）設置ACL設備的控制列表信息，通過對外界網頁進行多層次的過濾，減少對網絡設備的危害，并阻止危害網頁消息的出現，確保網絡更安全。

2.3接入層的網絡安全

通過對接入業務、寬帶上網業務和VPN業務進行接入，以降低網絡使用者對網絡造成的危害。其主要連接方式是XDSL、LAN 和 WLAN 這三種，從用戶的網絡安全進行分析，得出以下兩點措施。一方面是阻止側用戶端口的接入，利用物理隔離和邏輯隔離這兩種方式進行網絡隔離。其物理隔離主要使用的是單主板安全隔離計算機和隔離卡技術這兩種隔離方式，以確保內部網絡不直接或間接與公共網絡進行連接，以此達到真正隔離的目的；而邏輯隔離則是采用虛擬局域網、訪問控制、虛擬專用網、端口綁定等手段進行個人網絡和公共網絡間的有效隔離。通過以上兩種隔離手段，有效保護個人網絡賬號信息的安全，以防外界用戶對原用戶的干擾。另一方面則是對用戶寬帶的流量加以控制，利用完整的軟件應用能力和充足的流量管理經驗，以達到完善用戶網絡的目的，促使接入層網絡更安全。

3 網絡安全規劃設計實行策略

根據城域網中各層次的特點，從不同方面分析城域網運行過程中出現的問題，采取不同的優化措施，制定合理有效的優化策略，嚴格管理控制網絡數據和信息傳送，促進城域網安全穩定的發展，并利用有效的控制手段優化網絡信息，以確保網絡正常安全的運行。除此之外，還需要網絡用戶對個人路由器信息進行認真設置，使用更高級的賬號登錄密碼，防止網絡病毒的入侵，導致自身網絡系統癱瘓，使用正確的路由器服務，有利于網絡安全平穩的運行。

4 總結

綜上所述，根據城域網各層次出現的網絡安全均不同和網絡所承接業務的不同，我們應采取合適解決問題的安全技術方案，改善城域網在各階段的不足之處。在網絡安全技術實行過程中，需要全面考慮到網絡各方面的應用，制定合理有效的安全技術方案，利用合理的安全防護技術，改善城域網網絡規劃設計中出現的不足之處，只有確保城域網的整體安全，才能達到全面完善網絡系統，從而促進城域網健康穩定的發展的目的。

[1]龔儉，陸晟，王倩.計算機網絡安全導論(第1版)[M].東南大學出版社，2000.

[2]李逢天.網絡運營中的網絡安全問題及解決思路[J].電信技術，2002.

[3]楊建紅.計算機網絡安全與對策[J].長沙鐵道學院學報(社會科學版) ，2005.

[4]劉建偉.企業網絡安全問題探討[J].甘肅科技，2006.

[5]吳長虹.城域網網絡安全規劃設計研究[J].信息通信，2012.