摘要:网络安全已经成为人们日益关注的话题,网络设备作为网络的基础设施,其安全性间接反映了网络的安全态势。如何保护网络免受非法攻击,保障人们信息安全正成为研究的热点。源于IP技术的开放性,因特网面临越来越多的安全隐患,给用户的网络和业务造成了很大的影响,也影响了通信运营商IP城域网的业务质量。如何保证移动骨干网络的稳定以及保证用户服务的可用性,成为摆在通信运营商面前迫切需要解决的课题。IP城域网是通信运营商重要的基础网络之一,网络的安全稳定是品质的基础,是企业正常运营的基础和核心。随着“宽带中国”的战略实施及提速降费的大力推行,以家庭宽带为主的数字化业务迅速普及,人们日常大量信息交互如网络购物等行为均经过通信运营商IP城域网,夯实IP城域网的网络安全基础,保障客户信息安全,是社会乃至国家层面的重要战略工作。
关键词:IP通信网络;网络安全;安全防护;策略加固
IP城域网是介于广域网及局域网之间的网络,多以光纤作为传输媒介,主要分为3个层次,包括核心层、汇聚层和接入层。随着政府及国家的大力推行,家庭宽带等业务飞速增长,IP城域网呈现出之所未有的发展态势,同时也给我们的生活和工作带来极大的便利,例如远程会议、网络电视、网络购物等。目前网络安全已提升至重要战略层面,近年来通信运营商也在逐渐投入大量资源致力于网络安全防护工作,全力保障客户信息安全,营造一个安全、稳定、畅通的优质网络使用环境。
一、IP城域网的网络安全现状
(一)IP城域网的现状
1、IP城域网的概况
一般而言,城域网主要由三个层次构成,分别为核心层、汇聚层以及接入层。
这三个层次在IP城域网中各自承担着不同的功能,它们是IP城域网中不可缺少的一部分。IP城域网的核心层面临着路由安全与核心层的设备自身安全等主要安全问题;汇聚层又称为控制层,它主要面临的网络安全问题是路由安全、异常流量的抑制以及用户的业务安全和对用户访问的控制;构成接入层的主要是二层接入设备,接入层面临的网络安全问题是用户的攻击行为与对广播风暴的抑制。
2、IP城域网主要存在的风险
随着目前网络的不断普及,IP城域网的用户快速增加,网络安全问题就凸显出来,这些问题主要体现在五个方面:(1)用户端引起的流量攻击问题。(2)用户管理接入问题。(3)大量垃圾邮件挤占网络带宽。(4)大量出现以占用带宽为目的的应用。(5)网络安全管理问题。
3、IP城域网的安全现状分析
目前通信运营商IP城域网的安全主要面对着以下的五个方面的问题:(1)关键设备(如核心设备)以及关键链路(出口城域网链路及BRAS/SR上行链路)是否冗余。(2)对核心层、汇聚层以及接入层的管理混乱,导致用户随意接入。(3)网络设备在某些功能上存在缺陷。(4)网络终端的防护能力薄弱。(5)对网络缺乏相应的安全监控,除认证计费外,多数网络处于开放状态。
(二)常见的网络攻击手段
常见的网络攻击手段主要有地址欺骗、端口扫描以及应用层攻击,这些网络攻击对IP城域网的网络安全造成了很大的威胁。
1、地址欺骗
IP地址欺骗又被称为身份欺骗,网络攻击者把真实的IP地址进行切换并发送特定的信息,扰乱正常的信息传输。IP地址欺骗也可以利用一些信息更改网络的路由信息,从而达到窃取信息的目的。
2、端口扫描
端口扫描是网络攻击者攻击网络的主要方法之一。这个方法就是攻击者们利用公共公开的网络安全工具对网络系统进行较大规模的端口扫描,进而获取相应的信息。攻击者们用这种方法攻击IP网络,会占用大量的系统资源,会对正在正常使用的设备造成较大的危害。
3、应用层攻击
网络攻击者们使用应用层攻击的直接对象就是网络系统的服务器,应用层攻击的条件相对较高,因此应用层攻击者多为这个系统程序的初始设计者,他们可以在服务器的操作系统中制造一个后门,绕过正常程序达到目的,特洛伊木马就是一个典型。
二、通信网络设备的安全管理风险
(一)对设备的远端管理采取传统管理方式,无接入限制,存在隐患
日常在对设备的远程管理上,基本都是通过传统的TELNET方式管理,由于TELNET协议特点决定其不安全性,没有口令保护,远程用户的登陆传送的帐号和密码都是明文格式,没有经过加密,使用普通的抓包工具就可以被截获。第一,没有强力认证过程,只是验证连接者的帐户和密码。第二,没有完整性检查,传送的数据没有办法确定是否完整的,而不是被篡改过的数据。
期刊文章分类查询,尽在期刊图书馆
(二)SNMP访问无限制
简单网络管理协议SNMP是目前TCP/IP网络中应用最广的管理协议,主要有三个版本:SNMP1,SNMP2,SNMP3,其中版本1最常用,但是存在很多安全问题,原因是认证方案是基于一个字符串的,字符串在网络上没有任何加密,采用明文传输,因此是非常脆弱的。
(三)开启不必要服务,增加设备的被攻击几率
许多网络设备在出厂时为了保证多种应用需要,在缺省情况下的许多服务是开启,例如:DHCP,WEB,FINGER,FTP等等,这些服务在实际工作中往往应用不到,因此往往容易忽视对这些服务端口的管理与防护,但是这些开启的服务端口却可能成为设备被攻击的最好载体。
(四)设备管理安全防护未做到全网联动
日常在对设备安全防护时重点关注关键设备的安全防护,容易忽略一些底端接入设备安全防护,往往这些设备由于处理能力及防护功能较弱,安全漏洞较多而成为被攻击的目标,这类设备一旦被攻破,则会危及到关键设备的安全,进而危及整个网络的安全。
三、IP城域网核心设备的安全防护措施
电信运营商IP城域网的主要设备是BRAS和SR,主要承载了宽带和大客户业务,因此需要在BRAS和SR设备上实施安全防护措施。
(一)提升核心设备数据层防护
通过结合ChinaNet部署的黑洞路由机制,根据需要对城域网中的地址段进行防护。在网内部署专门的黑洞触发路由器,用来发布黑洞路由,黑洞路由的community设置为特定值,在CR上修改黑洞路由的next-hoop,同时在所有网络边缘设备上配置静态路由把黑洞路由的next-hop指向空端口。对造成网络或者重要链路拥塞的大攻击流量进行有效管控,主要是通过城域网远程触发黑洞策略,保证网络的安全运行稳定。如果城域网BRAS或SR具备源地址检查功能,则在BRAS和SR上启用源地址检查功能。如城域网BRAS或SR不具备(或者不完全具备)源地址检查功能,则在城域网出口路由器下联端口上采用ACL技术或者URPF技术(在设备具备相关能力的情况下)过滤掉源地址非法的数据包。源地址为城域网业务地址,或者自带地址用户的源地址。
(二)提升核心设备控制层防护
对于只接收国内路由和缺省路由的城域网,为防止ChinaNet网内BGP路由过滤策略失效对城域网BGP控制层面的冲击,需使用整理好的国内地址列表通过模糊匹配的方式接收ChinaNet广播的国内路由。
四、常规网络攻击的安全防护措施
切实落实日常对常规网络攻击的安全防护工作,主要应对网络攻击的主要技术策略有以下三种方案:
(一)设备防护。
设备是一切的基础,对设备安全进行防护是构建IP城域网网络安全的主要措施之一。对设备我们需要实行最小化的服务原则,在使用设备时,关闭设备上一些并不需要的功能服务。在认证方面使用单点登录集中认证的方法控制维护人员的远程访问,同时远程访问需使用SSH方式,简介后还需要有相关的信息提示。
(二)接入层防护。
接入层相当于网络终端与IP城域网的一堵墙,要想对网络终端进行隔离就必须把接入层这堵墙建好。对接入层的建设主要是加强对L2网安全防护,特别加强对H用户接入以及网吧接入的管理工作。尤其对网吧的管理,现网已经出现不止一次因为网吧遭受攻击而影响其接入的那台汇聚交换机甚至是BRAS瘫痪的情况。这就要求全网部署好防流量攻击策略等工作。
(三)计费认证系统防护。
相对其他缺乏安全监控的网络来说,认证计费系统的安全防护工作还是做得比较到位。计费认证系统防护方面我们需要对各个地市的计费认证系统进行集中的管理,对网络的访问实现对不同业务主机的安全防护,定期的对认证计费系统进行安全的扫描,对认证账号、IP进行保密。
结束语
在新世纪下整体IP网络的发展态势良好,但是IP城域网的网络安全一定程度上制约着整个IP网络的发展,因此解决IP城域网的网络安全问题势在必行。为了提高IP城域网的网络安全水平,必须根据实际情况,制定相应的网络安全应急机制,对整个城域网制定相应的应急预案,提升网络维护人员的安全应急技能,提高IP城域网整体对网络安全的应对能力,做到防患于未然。
参考文献:
[1]辛荣寰.中国通信学会信息通信网络技术委员会2003年年会论文集2016.2
[2]城域网网络架构优化研究网络安全技术与应用2017.16
[3]基于IP城域网的优化策略及发展应用中国新通信2017.12
论文作者:全远钢
论文发表刊物:《基层建设》2019年第16期
论文发表时间:2019/8/28
标签:城域网论文; 网络论文; 设备论文; 网络安全论文; 路由论文; 安全防护论文; 防护论文; 《基层建设》2019年第16期论文;