層層布防提升DCN網安全

李 明 劉 濤 王賢鋒

中國電信股份有限公司徐州分公司

0 引言

DCN網（Data Communication Network，數據通信網絡）是中國電信內部IT系統的基礎承載網，為電信業務、營業、計費、網管數據傳輸、多媒體通信等系統提供傳輸通道和通信平臺。徐州DCN網2005年之前是通過2M等方式互聯的獨立的專網，由華為2600路由器、華為2016或2403等交換機組成。2005年進行了擴容，在端局增加了部分華為3528、3352交換機，隨后以OLT（optical line terminal，光線路終端）設備為核心的接入網大規模部署，網絡延伸到各個鄉鎮局點。DCN網用戶可以通過LAN（局域網）或PON（無源光纖網絡）的方式接入城域網，通過MPLS VPN（Multi-Protocol Label Switching Virtual Private Network，基于多協議標簽交換技術的虛擬專用網）承載。在城域網內采用兩臺高性能的華為NE40E作 為ASBR（Autonomous System Boundary Router，自治系統邊界路由器）對本地網DCN業務的路由進行匯聚，進入CN2（Chinatelecom Next Carrier Network，中國電信下一代承載網絡）網絡，接入省DCN網。網絡拓撲如圖1所示。

圖1 徐州本地網DCN網拓撲

徐州DCN網主要用途主要有三個方面：

（1）辦公：主要用于員工辦公使用，包括MSS（Manage Support System，管理支持系統）、BSS（Business Support System，業務支持系統）、OSS（Operation Support System，運營支持系統）、OA（Office Automatio，辦公自動化）等系統。

（2） 生產：主要用于各設備、網管使用，包括傳輸網管系統、動環監控等。

（3） 營業：主要用于營業廳業務辦理，包括自有廳、合作廳、代辦廳等。

1 DCN現網安全狀況分析

1.1 DCN網面臨的安全隱患

（1）企業信息化、動環監控、設備網管等對DCN網的需求將長期存在，但目前的接入交換機已運行15～20年，對于一張長期存在的網絡，需要及時替代升級。

（2）各需求部門組網方式隨意性很強，末端接入混亂，網絡區域邊界不清晰，容易存在廣播風暴，二層環路等故障點（如圖2所示，多臺交換機串聯在一起）；網絡資源比較分散，IP地址各部門混用，關鍵數據分散管理，部分通信資源無法共享，擴展性差；再加上工作點分散，私自更換IP地址，容易造成資料不準，資產備案困難，出現障礙無法準確定位。

圖2 DCN網末端接入混亂

（3）本地網DCN網出口沒有配備防火墻，出口路由策略ACL（Access Control Lists，訪問控制列表）配置粗糙，訪問端口策略不合理，容易受到網絡攻擊，容易導致產生安全漏洞的端口暴露在整個DCN網內。

（4）DCN網IP地址的利用率低，只有新增沒有釋放，缺少IP地址的有序管理，造成IP資源浪費，剩余可用地址緊張，已經影響到后期業務開放。

總之，資源不準確、接入無管控、無網絡安全防護、網絡私接、故障定位難、無法溯源、缺少IP有序管理、IP資源浪費等問題是目前徐州電信DCN網絡存在的風險點。

1.2 提升DCN網安全的辦法

（1）根據DCN網的用途，利用MPLS VPN技術劃分多個域，各業務在城域網內獨立運行。

（2）利用DCN網出口的兩臺ASBR設備，在不新增防火墻的前提下，可以通過配置路由、ACL、白名單等方式進行全網的安全防護。

（3）生產、營業用DCN網，就近接入專線交換機或接入FTTH網絡。采用專線電路的方式受理開通。IP地址需求量大的局點配置專用DCN網接入交換機。

（4）除生產和營業用DCN網，其余辦公用DCN網一律采取PPPOE（Point-to-Point Protocol Over Ethernet，以太網上的點對點協議）撥號方式接入DCN網，一人一號，采用VLAN（Virtual Local Area Network，虛擬局域網）+MAC（Media Access Control Address，局域網地址）綁定，方便管控。其他人員如要訪問DCN網一律申請FTTH（Fiber To The Home，光纖到戶）鏈路接入，采用撥號方式，VLAN+MAC綁定。

（5）采用固定IP地址接入的需要嚴格履行IP資產管理、報備手續，在地址啟用、撤銷、變更時需要及時在電信自用IP資產管理系統中同步變更。

（6）員工安全意識欠缺不容忽視，需要加強管理，很多網內運行的系統平臺存在敏感信息泄露、弱口令、開放非用端口等安全問題。

2 解決措施

2.1 DCN網安全域的劃分

針對DCN網IP地址的用途分配不同，劃分4個安全域，彼此隔離，并分配不同的權限：

（1）辦公域，采取VPDN（Virtual Private Dial Network，虛擬專有撥號網絡）的方式取代配置靜態IP方式接入。城域網全區BRAS（Broadband Remote Access Server，寬帶接入服務器）做VPDN的LAC（L2TP Access Concentrator，L2TP訪問集中器），核心機房新建一臺BRAS做LNS（L2TP Network Server，L2TP網絡服務器），在省AAA（Authentication、Authorization、Accounting，驗證、授權和計費）系統上新開VPDN-DCN網域名及用戶賬號（域名xzdxdcn.js，用戶賬號采用“電信辦公手機號@域名”方式）。用戶進行撥號在LAC上進行一次認證，然后在LNS上進行二次認證并獲得IP地址，原理如圖3所示。每次都要通過省AAA服務器進行認證，省AAA服務器會對用戶賬號一次認證、二次認證的成功失敗情況、分配的IP地址、以及用戶的接入信息進行記錄，借此可以實現IP地址的溯源，符合網絡安全管理的規定。辦公域的權限可以訪問中國電信DCN網內所有資源，但需要部署80、8080、443、21、23等應用端口和常見的病毒端口封堵，提高安全性。

圖3 DCN撥號改造原理圖

（2）生產域，需通過營業受理光纖VPN專線業務方式開通，為保證生產，對原有固定IP地址盡量不修改，但對地址段進行了規整，縮小了掩碼，盡量減少沖突域，并且從原有辦公網接入中獨立出來，建立新的VPN實例2980242，在ASBR上采用白名單的方式，控制生產域對DCN網絡的訪問。生產域的權限只能訪問各類網管、操作各類終端，權限最小。

（3）營業域，通過營業受理光纖VPN專線業務，受理時使用VPN實例ldcn-db，營業域權限只能訪問營業系統，訪問的權限由企業信息化部賦予。

（4）專線域，對于非辦公、生產和營業外的，對固定IP需求的單位，單獨劃分一個域，通過營業受理光纖VPN專線業務，受理時使用VPN實例ldcn，需求者需要提供詳細的訪問控制列表，在用戶接入的BRAS子接口上最細化控制。專線域的權限只能訪問固定的資源和被固定的資源訪問。

2.2 路由策略配置

在徐州兩臺ASBR到CN2的端口上做策略路由配置，并且在BGP中嚴格路由收發策略，如圖4所示。

圖4 路由策略配置

2.3 DCN網設備和IP資產納管

（1）徐州DCN網內共55臺DCN網設備、1973條DCN網用電路（包括ASBR與CN2互聯電路）納入IPOSS網管，實現實時監控，便于障礙處理。

（2）根據集團公司、省公司關于《關于開展2020年云網運營能力和客戶感知雙提升專項行動的通知》、《關于發布 DCN 網絡優化整治實施方案的通知》、《加強 DCN 網絡 IP 地址管理工作的通知》文件要求，DCN網IP地址必須實名制登記，通過營業受理的光纖VPN專線，電路開通之后需進行IP資產的登記，明確IP地址的使用人、管理人、使用用途，備案的IP地址包括網絡地址、網關、廣播地址、已分配使用地址、已分配未使用地址等，如有變化，及時申請變更。目前已實現10931條IP地址資產納入自用地址管理系統。納入管理系統的IP資產，定期進行漏洞和病毒掃描，確保安全。

2.4 加強員工安全意識培養

對全體員工進行信息安全方面的培訓，尤其對于密碼策略選擇和防范社會工程攻擊等領域加強培訓。各部門設立專兼職的安全員，分公司專職安全員每月進行全網的漏洞掃描，組織進行整治和系統補丁更新。

3 經驗總結

3.1 徐州DCN網安全得到極大提升

根據集團和省公司的要求，徐州結合本地DCN網特點，通過優化網絡拓撲，劃分DCN網安全域、優化配置路由及ACL策略，IP資產報備，員工安全培訓等措施來提升徐州DCN網安全，采用零投資的方式實現了和防火墻一樣的效果，徐州電信DCN網已初步構建成動態的網絡安全體系，為網絡的安全運行提供了強有力的保障，其具備的特點如下：

（1）節省投資、利舊線路、避免浪費，盡量利用員工的原有線路進行VPDN撥號改造，減少員工布線工作；

（2）區分安全域，電信員工自用、代理及外包單位、生產用IP的接入線路和網段地址分離，控制不同網段可訪問范圍，最小授權；

（3）用戶出口統一管控、統一限制非法端口，保證電信自用網絡的安全性；

（4）對現有SR/BRAS等核心設備的改動較小，不影響現網業務；

（5）提高IP資產管理準確率、確保溯源能力，解決以往部分區域追查不到具體責任人的問題。

3.2 從信息系統全局安全管理的角度來看，仍有不足

（1）現有的技術措施，對于事前預防尚存在不足，缺乏一套完善的信息安全預警體系。通過信息安全預警系統，可以實現對全DCN網信息資產和業務數據流的安全狀態監控和預警。

（2）與其他本地網安全策略存在矛盾，尤其是互訪權限的配置。在權限允許內的遠程接入網絡被入侵后，當做跳板來入侵本地網絡的情況無法避免。

4 結束語

網絡安全是一項復雜的系統工程，是艱巨而長期的工作。一個安全方案不可能解決所有安全問題，也沒有一勞永逸的安全方案，它不是靜止產品，必須根據實際情況，適時調整安全策略。網絡安全管理人員要不斷努力來提升安全，使風險處于掌控之中。