IMS網絡中防火墻設備的具體應用

劉立斌

IMS網絡中防火墻設備的具體應用

劉立斌

復雜的網絡環境和智能化的終端設備直接影響IMS用戶使用感知，通過對現有網絡部署應用的分析與研究，提出一種優化方案提高IMS網絡的可靠性和安全性。

IMS；防火墻

一、引言

隨著寬帶技術快速發展，在數據網上進行多媒體通信已經成為一種普遍需求。IP多媒體子系統（IMS）是一種嶄新的多媒體業務形式，采用SIP（Session Initiation Protocol）協議作為其會話控制協議，利用SIP簡易、靈活、易擴展、協商便捷等優點來提高網絡的未來適應能力。與傳統PSTN相比，無論是所能提供的業務類型還是成本控制，IMS均有突出的優點。基于IP技術實現的IMS網絡繼承了IP的優點，同樣也繼承了IP網絡的多種安全性和可靠性問題。所以，在IMS網絡中部署防火墻是必不可少的環節，本文重點探究如何在IMS網絡中部署防火墻，從而提高網絡的安全性和可靠性。

二、網絡的安全性和可靠性概念

（一）網絡的安全性概念

網絡的安全性是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露。網絡設備作為基礎設施是信息處理的關鍵所在，若其安全性能較低，整個網絡安全性能更難以保障。一般在網絡系統終端具有較高的交換信息能力情況下，網絡安全性自然也會得到提高。同時需要注意的是所有信息產生后都會由網絡系統承載，這就要對網絡設備質量提出更高的要求。

盡管近幾年運營商和大多企業對網絡安全給予足夠的重視，但由于技術的日新月異，使得提高網絡安全性這一目標很難完全實現。本文研究主要從通過部署防火墻提高數據的安全性。

（二）網絡的可靠性概念

網絡的可靠性是指硬件的可靠性、軟件的可靠性、人員的可靠性和環境的可靠性。影響網絡可靠性的主要因素包括網絡拓撲結構的可靠性和網絡設備的可靠性。

計算機的網絡結構包括星型結構、環型結構、網狀結構和混合型結構。選擇何種網絡結構需要根據實際情況決定，沒有哪種網絡結構具備絕對的可靠性，這需要在網絡部署完成后不斷地升級與擴容，使其可靠性不斷增強。網絡設備的可靠性包括傳輸設備可靠性和數通設備可靠性。

三、防火墻的基本原理

（一）防火墻的基本概念

在實際的網絡環境中，單一的安全防護技術不足以確保網絡的安全，多種安全防護技術的綜合應用才能夠將安全風險控制在盡量小的范圍內。

一般而言，構建一個安全防范體系具體實施的第一項內容就是在內部網絡和外部網絡之間構筑一道防線，以抵御來自外部的絕大多數攻擊。完成這項任務的網絡產品的作用類似于建筑行業中用于防止火災蔓延的隔斷墻，因此我們稱這種網絡產品為防火墻。

防火墻是監控可信任網絡（內部網絡）和不可信任網絡（外部網絡）之間的訪問通道。它一方面阻止來自外部網絡的用戶對內部網絡的未授權訪問，另一方面允許內部網絡的用戶對外部網絡進行訪問。防火墻也可以作為一個訪問因特網的權限控制關口，如允許組織內的特定的主機可以訪問因特網。現在的許多防火墻同時還具有一些其他特點，如進行身份鑒別、對信息進行安全處理（如加密）等等。

防火墻不單用于對因特網的連接，也可以用來保護內部網絡的大型機和重要的資源（如數據）。對受保護數據的訪問都必須經過防火墻的過濾，即使網絡內部用戶要訪問受保護的數據，也要經過防火墻。

（二）防火墻的基本功能

1.入侵防御（IPS）

IPS功能通過對應用協議的詳細解析及異常檢測，防御對網絡終端應用的入侵攻擊。其主要手段有深度檢測和防護、IPS簽名庫和入侵攻擊日志記錄。

2.運營級 NAT（CGN）

由于移動寬帶網絡、物聯網等新技術以及各種應用服務的高速發展，IPv4地址資源已經枯竭。IPv6是解決IPv4地址耗竭的根本辦法，互聯網向IPv6網絡的過渡已刻不容緩。在目前IPv6尚未商用的情況下，一種優秀的過渡技術顯得十分重要，NAT就是其中之一。常用的NAT技術有Dual-Stack+NAT444、6RD、DS-Lite和 NAT64。

選擇哪種具體的過渡技術，與運營商擁有的IPv4地址數量、現有網絡結構和流量模型、初期部署升級的難度以及后期演進思路等因素有關。

3.異常流量監管（Anti-DDoS）

當今網絡威脅的種類、網絡攻擊的強度正呈幾何速度增長，針對HTTP、HTTPS、SIP、DNS等應用層協議的攻擊類型不斷創新，使用傳統的、基于Flow的大流量分析攻擊的檢測方法瀕臨失敗。如何應對海量攻擊和應用層攻擊，保證網絡穩定運行？如何降低維護成本，提高收益？這已經是運營商面臨兩大亟待解決的難題。異常流量監管（Anti-DDoS）正是解決兩大難題的法寶。通常異常流量監管（Anti-DDoS）由檢測中心、清洗中心和管理中心三部分組成。

4.安全策略

防火墻安全策略可以支持多種具體功能，如通過IPv4/IPv6的基本ACL和高級ACL實現增強的報文過濾功能；通過將某些可疑報文的源IP地址記錄在黑名單列表中，系統丟棄黑名單用戶的報文實現黑名單過濾惡意主機；提供諸如認證、授權方案，同時支持與計費服務器、記錄服務器協同工作，對網絡訪問安全進行集中管理等多種認證方式；用于與GSN（GPRS Support Node）產品進行聯合組網，保障GPRS（General Packet Radio Service）網絡上的數據傳輸安全的GTP保護功能等。

四、防火墻在IMS網絡中的部署

（一）場景分析

本文主要研究的場景為某運營商IMS環境，圖1為具體拓撲，在整個環境中共分為三層。接入層為ISBC設備，負責接入用戶端的語音設備，直接為用戶提供豐富的語音業務，匯聚層主要由路由器和防火墻組成，其中路由器負責提供路由策略，防火墻處于IMS網絡和Internet之間，負責有條件隔離兩個網絡的威脅，保證整個網絡的安全性和可靠性；核心層由兩臺高性能核心路由器組成，負責將整個IMS網絡的流量快速轉發至Internet。IMS網絡中的安全性和可靠性主要由匯聚層實現，本文主要從匯聚層兩種設備的配合使用，尤其是防火墻設備的部署來實現IMS網絡的安全可靠。

圖1

（二）IMS網絡可靠性保證

整個網絡均采用雙歸屬的架構方式，采用雙機熱備份的方式保證網絡最基本的可靠性。當網絡正常時，流量均通過主用設備轉發，當網絡設備或鏈路出現故障時，網絡會自動切換至備用設備上，確保業務不間斷或在最短的時間內恢復正常，詳細見圖2。

為了能滿足上述需求，需要配置以下幾種協議：

1.VRRP(Virtual Router Redundancy Protocol)

虛擬網關冗余協議是一種容錯協議，通過對物理設備和邏輯設備的分離，實現在多個出口網關之間進行選路。通過對參數的設定，將兩臺設備，如兩臺防火墻、兩臺路由器虛擬成一臺邏輯上的設備，由這一臺邏輯設備轉發用戶報文，當其中一臺物理設備發生故障，通過VRRP協議可以自動將流量切換至另外一臺物理設備，對用戶而言邏輯設備沒有變化。

2.HRP(Huawei Redundancy Protocol)

該協議可以將動態狀態數據和命令信息進行實時備份，確保不會因為主用設備的故障而導致與備用設備數據和命令的不一致。

3.IP-Link

即鏈路可達性檢查，通過防火墻定時地向指定的目的IP進行ICMP回顯請求，并等待應答。在設定的時限內未收到回應報文時，則認為當前鏈路發生故障，并進行與鏈路相關的后續操作。當原來認為故障的鏈路，在之后設定的時限內，有連續的3個回應報文收到，則認為鏈路故障已經消除，此時進行鏈路恢復的后續操作。

圖2

（三）IMS網絡安全性保證

IMS網絡安全性主要通過防火墻設備安全策略實現，這里主要介紹安全區域的劃分和包過濾的配置兩種手段。

1.安全區域(Security Zone)

一個安全區域是若干接口的組合，這些接口所連接的用戶具有相同的安全屬性。每個安全區域具有全局唯一的安全優先級，即不存在兩個具有相同優先級的安全區域。防火墻中默認定義Trust區域、DMZ區域和Untrust區域，安全級別由高到低。默認情況下，區域內數據流動不會觸發安全策略檢查，區域間的數據流動會觸發安全策略的檢查。所以安全區域的正確劃分可以有效規避一定的安全問題。

2.包過濾

包過濾作為一種網絡安全保護機制，用于控制在兩個相同或不同安全級別網絡之間數據的流入和流出，是防火墻安全功能的重要組成部分。對于需要轉發的報文，防火墻先獲取報文頭信息，包括報文的源IP地址、目的IP地址、IP層所承載的上層協議的協議類型、源端口號和目的端口號等，然后和預先設定的過濾規則進行匹配，并根據匹配結果對報文采取轉發或丟棄處理。為了實現包過濾功能，需要配置一系列的過濾規則。

五、結束語

網絡給人們帶來便捷的同時，也帶來很多安全方面的困擾，網絡開放性的特點使得網絡容易遭受外界的攻擊和自身缺陷產生的威脅，而單一無保護的網絡結構容易帶來可靠性的問題。要想解決這些困擾，必須不斷完善網絡結構，優化網絡性能，將諸如防火墻技術和可靠性技術結合到一起使用。此外，正規的安全操作也不容忽視，只有這樣，才能使網絡既可靠又安全。

[1]李延斌.IMS網絡安全部署策略研究[J].網絡安全架構,2016:10-15.

[2]王楨,楊俊鵬.計算機網絡技術與安全管理維護探討[J].網絡安全,2014:129-130.

[3]楊陽.論計算機網絡的安全可靠性[J].無線互聯科技,2016:36-37.

F224.33

A

1008-4428（2017）09-10-03

劉立斌，男，遼寧遼中人，高級工程師，現任中移鐵通有限公司江蘇分公司總經理。