淺談IP城域網網絡安全

萬星

中國電信股份有限公司眉山分公司

【摘 要】進入新世紀以來，市場變遷，我國的IP城域網的發展進入了一個新的階段。以前人們對IP城域網的需求主要為寬帶，到如今逐漸向質量與可靠，有廣泛業務的不間斷網絡通信轉變。網絡安全作為網絡質量的基礎之一，已愈發受到運營商的重視。在銀行、政府、支付等特殊的企事業單位中，對IP城域網的網絡安全提出了更高的要求，間接的推動了IP城域網網絡安全的發展建設。本文從IP城域網網絡安全的現狀出發，分析了幾個常見的網絡攻擊方法并簡單的介紹了目前應對網絡攻擊的安全防護措施。

【關鍵詞】IP城域網；網絡安全；防護措施

從目前的分析來看，制約IP城域網發展的重要因素之一就是網絡安全。最近幾年，網絡安全事件發生的頻率在逐年升高，造成的損失也不斷升高，因此面對如此嚴峻的網絡安全形勢，必須對網絡安全大力度的加以整治。

1 .IP城域網網絡安全的現狀

1.1IP城域網的概況

一般而言，城域網主要由三個層次構成，分別為核心層、匯聚層以及接入層。

這三個層次在IP城域網中各自承擔著不同的功能，他們是IP城域網中不可缺少的一部分。IP城域網的核心層面臨著路由安全與核心層的設備自身安全等主要安全問題；匯聚層又稱為控制層，它主要面臨的網絡安全問題是路由安全、異常流量的抑制以及用戶的業務安全和對用戶訪問的控制；構成接入層的主要是一些二層的接入設備，接入層面臨的網絡安全問題是用戶的攻擊行為與對廣播風暴的抑制。

1.2IP城域網主要存在的風險

隨著目前網絡的不斷普及，城域網的用戶快速增加，網絡安全問題就凸顯出來，這些問題主要體現在五個方面：（1）用戶端引起的流量攻擊問題，（2） 用戶管理接入問題，（3）大量垃圾郵件擠占網絡帶寬，（4） 大量出現以占用帶寬為目的的應用，（5） 網絡安全的管理問題。

1.3IP城域網的安全現狀分析

目前IP城域網的安全主要面對著以下的幾個方面的問題：（1）關鍵設備（如核心設備）以及關鍵鏈路（出口城域網鏈路及BRAS/MSE上行鏈路）是否冗余（3）對核心層、匯聚層以及接入層的管理混亂，導致用戶隨意接入，（4）網絡設備在某些功能上存在缺陷。（1）網絡終端的防護能力薄弱，（2）對網絡缺乏相應的安全監控，除認證計費外，多數網絡處于開放狀態，

2.常見的網絡攻擊手段

常見的網絡攻擊手段主要有地址欺騙、端口掃描以及應用層攻擊，這些網絡攻擊對IP城域網的網絡安全造成了很大的威脅。

2.1地址欺騙

IP地址欺騙又被稱為身份欺騙，網絡攻擊者把真實的IP地址進行切狀，并發送特定的信息，擾亂正常的信息傳輸。IP地址欺騙也可以利用一些信息更改網絡的路由信息，從而達到竊取信息的目的。

2.2端口掃描

端口掃描是網絡攻擊者攻擊網絡的主要方法之一。這個方法就是攻擊者們利用公共公開的網絡安全工具對網絡系統進行較大規模的端口掃描，進而獲取相應的信息。攻擊者們用這種方法攻擊IP網絡，會占用大量的系統資源，會對正在正常使用的設備造成較大的危害。

2.3應用層攻擊

網絡攻擊者們使用應用層攻擊的直接對象就是網絡系統的服務器，應用層攻擊的條件相對較高，因此應用層攻擊者多為這個系統程序的初始設計者。他們可以再服務器的操作系統中制造一個后門，繞過正常程序達到目的，而特洛伊木馬就是一個典型。

3.應對網絡攻擊的安全防護

3.1搭建IP城域網網絡安全架構

IP城域網主要的安全隱患來自各個層次。針對核心層，我們需要做到以下幾個方面（1）選擇高可靠高性能核心路由器（2）做好冗余措施，避免單點故障，（3）選擇合適的路由協議，提高網絡可靠性及效率（4）充分利用訪問控制列表（ACL）等措施做好流量過濾機流量攻擊防范。

針對業務控制層，（1）BRAS/MSE上行到核心路由器鏈路必須冗余，同時起到鏈路安全及流量負載分擔功能（2）強化訪問控制列表（ACL），同時進行一些設置，以過濾或阻止某些攻擊企圖，通過關閉不必要的服務降低風險。

針對接入網，（1）防止環路，盡量減少二層VLAN透傳（2）采用QINQ方式，有效隔離用戶，防止ARP攻擊等。

另外，需在全網做好黑洞路由等安全防護策略；同時對各級設備都應注重強權限管理，加強用戶名、密碼、權限等訪問控制手段。而且對所有網絡設備配置及各類數據都必須進行及時有效的備份。

3.2應對網絡攻擊的主要技術策略

3.2.1設備防護。

設備是一切的基礎，對設備的安全進行防護是構建IP城域網網絡安全的主要措施之一。對設備我們需要實行最小化的服務原則，在使用設備時，關閉設備上一些并不需要的功能服務。在認證方面使用單點登錄集中認證的方法控制維護人員的遠程訪問，同時遠程訪問需使用SSH方式，簡介后還需要有相關的信息提示。

3.2.2接入層防護。

接入層相當于網絡終端與IP城域網的一堵墻，要想對網絡終端進行隔離就必須把接入層這堵墻建好。對接入層的建設主要是加強對L2網安全防護，特別加強對H用戶接入以及網吧接入的管理工作。尤其對網吧的管理，現網已經出現不止一次因為網吧遭受攻擊而影響其接入的那臺匯聚交換機甚至是BRAS癱瘓的情況。這就要求全網部署好防流量攻擊策略等。

3.2.3計費認證系統防護。

相對其他缺乏安全監控的網絡來說，認證計費系統的安全防護工作還是做得很好。計費認證系統防護方面我們需要對各個地市的計費認證系統進行集中的管理，對網絡的訪問實現對不同業務主機的安全防護，定期的對認證計費系統進行安全的掃描，對認證賬號、IP進行保密。

4 .結論

在新世紀下整體的IP網絡需要發展，但是IP城域網的網絡安全一定程度上制約著整個IP網絡的發展，因此解決IP城域網的網絡安全問題勢在必得。為了提高IP城域網的網絡安全水平，必須根據實際情況，制定相應的網絡安全應急機制，對整個城域網制定相應的應急預案，提高IP城域網整體對網絡安全的應對能力，做到防患于未然。

參考文獻：

[1]辛榮寰.中國通信學會信息通信網絡技術委員會2003年年會論文集[C]. 2003.

[2]城域網網絡架構優化研究[J]. 馮南梓. 網絡安全技術與應用. 2017（03）：98-99.

[3]基于IP城域網的優化策略及發展應用[J]. 孔瑩. 中國新通信. 2015（04） ：101-102.