浅谈IP城域网网络安全
- 格式:doc
- 大小:17.30 KB
- 文档页数:6
下载文档原格式
合集下载
浅谈IP宽带城域网的设计思路
浅谈IP宽带城域网的设计思路随着互联网业务的普及,为了更好的服务于广大的互联网用户,通信运营商提出了IP宽带城域网扩容改造,立志于为广大用户提供更优质的网络服务,使众多人高速、快捷、安全的享受高质量的网络服务的梦想可以成为现实。
本论文首先阐述IP宽带城域网的基本概念、网络分层结构及各层次所的相关作用。
然后对IP宽带城域网进行设计,尽量为用户提供高质量的网络服务,实现办公、娱乐一体,在网络上同时实现高速上网、视频通信、企业高速互连等各种宽带应用。
标签:因特网IP宽带城域网设计网络分层结构引言:IP城域网是电信运营商或因特网服务提供商(ISP)在城域范围内建设的城市IP骨干网络,从城市信息化建设的角度来看,它是城市重要的信息基础设施。
宽带IP城域网是IP骨干网在城域范围内的延伸和覆盖,是覆盖城市、郊区及其所辖的县市和地区,提供城域多业务的网络。
宽带IP城域网承担集团用户、商用大楼、智能小区的业务接入和电路出租任务,具有覆盖面广、投资量大、接入技术多样和接入方式灵活的特点。
一、IP宽带城域网的基本概念IP城域网的概念是由计算机网络深化而来,指介于广域网和局域网之间,在城市及郊区范围内实现信息传输与交换的一种网络。
这里所说的IP城域网,是指覆盖城市范围、为全市各类用户提供宽带(通常是指2Mbit/s以上)接入的数字通信网络。
二、IP宽带城域网的分层结构整个城域网分为三层:骨干层、汇聚层、接入层。
骨干层负责业务交换处理、业务疏通、上连通其他业务骨干网;汇聚层是骨干网的延伸,负责区域内各接入点的多种业务汇聚,是接入层各种接入方式的终结点;接入层负责综合的接入,通过各种接入手段把业务汇集到汇聚层,接入点一般设置在写字楼或大型小区,一个接入点主要满足本大楼或小区的接入。
骨干层和汇聚层主要考虑网络结构和技术体制方面的内容;接入层主要考虑业务的拓展需要和运营商的战略需要,同时兼顾整体布局上的均衡。
城域网的核心节点和汇聚节点又统称为骨干节点。
宽带接入技术-IP城域网
• 一般情况下,核心层和汇聚层可合为一层称为汇聚层(有些情况可将汇聚层 与接入层合并),这样有利于扩大接入层的服务范围,降低宽带城域网的建 设成本。而对于大中型IP城域网来说,核心层和汇聚层的节点数量多,网 络规模大,往往采用典型的核心层、汇聚层和接入层三层结构。其中,接 入层到汇聚层之间采用静态路由方式,汇聚层到核心层之间采用OSPF协议, 核心层以上为BGP协议。
一、宽带IP城域网的网络结构
• 核心层:是指将多个边缘汇聚层连接起来,为汇聚层网络(各业务汇聚节点) 提供数据的高速业务承载和交换通道,同时实现和国家骨干网互联,提供 城市的高速IP数据出口。核心层网络结构重点考虑可靠性、可扩展性和开 放性。核心层节点的数量,大城市一般控制在3~6个之间,其他城市一般 控制在2~4个之间。 核心节点原则上采用网状连接。考虑到IP网络的安全,一般每个IP宽 带城域网络应选择两个核心节点与CHINANET骨干网络路由器实现连接。
二、宽带IP城域网的实例解决方案
• 按照IP城域接入网络、骨干网络、运营支撑系统的安全可靠性设计要求, 提供安全可靠的IP城域网解决方案,它包括:
• 核心层NE80第五代路由器 • 汇聚层NE40通用交换路由器 • S8016、S6506R等第二代三层交换机 • 接入层MA5200系列的BAS(Broadband • Access Server,宽带接入服务器)
四、总结与思考
• 通过这次的学习,我们了解到IP城域网的网络结构及业务应用。
• 请大家思考一下,我们现在最主要用的IP城域网接入方式是哪种呢?日常 所见过的业务应用有哪些呢?
Thank you
谢谢
3) 远程教育、远程医疗 多媒体远程教育系统以视频/音频工业的最复杂的压缩和传送技术为基础,
一、宽带IP城域网的网络结构
• 核心层:是指将多个边缘汇聚层连接起来,为汇聚层网络(各业务汇聚节点) 提供数据的高速业务承载和交换通道,同时实现和国家骨干网互联,提供 城市的高速IP数据出口。核心层网络结构重点考虑可靠性、可扩展性和开 放性。核心层节点的数量,大城市一般控制在3~6个之间,其他城市一般 控制在2~4个之间。 核心节点原则上采用网状连接。考虑到IP网络的安全,一般每个IP宽 带城域网络应选择两个核心节点与CHINANET骨干网络路由器实现连接。
二、宽带IP城域网的实例解决方案
• 按照IP城域接入网络、骨干网络、运营支撑系统的安全可靠性设计要求, 提供安全可靠的IP城域网解决方案,它包括:
• 核心层NE80第五代路由器 • 汇聚层NE40通用交换路由器 • S8016、S6506R等第二代三层交换机 • 接入层MA5200系列的BAS(Broadband • Access Server,宽带接入服务器)
四、总结与思考
• 通过这次的学习,我们了解到IP城域网的网络结构及业务应用。
• 请大家思考一下,我们现在最主要用的IP城域网接入方式是哪种呢?日常 所见过的业务应用有哪些呢?
Thank you
谢谢
3) 远程教育、远程医疗 多媒体远程教育系统以视频/音频工业的最复杂的压缩和传送技术为基础,
浅析电信IP宽带城域网规划与建设
浅析电信IP宽带城域网规划与建设摘要:随着互联网的发展,IP网络逐渐地成为了电信网络的主流。
作为电信运营商,为满足客户不断变化的需求,需要对其宽带城域网进行规划与建设。
本文从宽带城域网的特点、规划与建设步骤、网络拓扑结构、路由协议及安全等方面进行分析,以期为电信运营商在宽带城域网规划与建设中提供参考。
关键词:电信、IP宽带、城域网、规划、建设正文:一、宽带城域网的特点宽带城域网具有以下特点:1. 网络范围广:覆盖面较大,涉及到城市甚至国家的多个地区。
2. 用户多样性:需满足对各种应用的需求,例如:视频、音频、网络游戏等。
3. 骨干网结构复杂:需支持多种不同的网络接入方式,例如:ADSL、FTTH、CATV等。
4. 服务质量要求高:需要满足低延迟、高速率等要求。
以上特点对网络规划与建设带来了一定的挑战。
二、宽带城域网规划与建设步骤1. 网络需求分析首先,需要进行网络需求分析。
这一步骤有助于了解用户的实际需求,帮助规划网络。
2. 网络拓扑设计在此基础上,进行网络拓扑设计。
这一步骤需要考虑网络的覆盖范围、节点数量、骨干网络等因素。
3. 路由协议选择选择适合网络的路由协议。
不同的路由协议有着不同的优势和劣势,需要根据实际情况选择。
4. 安全策略制定制定合理的安全策略。
安全的宽带城域网需要对各种攻击有充分的预防和应对措施。
5. 网络实施实施网络并进行监控。
规划与建设后,还需要对网络进行监控和维护,以确保网络的稳定运行。
三、宽带城域网的网络拓扑结构不同的网络拓扑结构有着不同的特点和优缺点,需要根据实际情况进行选择。
1. 星型拓扑星型拓扑以中心节点为中心,对终端节点进行连接。
这种拓扑结构适用于节点数量较少的场景,有利于网络扩容和维护。
2. 环型拓扑环型拓扑中各节点两两相连,构成一个环形结构。
环型拓扑兼顾了骨干网的冗余性和节点之间的互联性。
3. 网状拓扑网状拓扑是一种点对点连接的方式,各节点之间互相连接,形成多条路径。
信息安全风险管理在IP城域网的应用
关风险处置建议进行项 目 安排。
3 IP宽带网络安全风 险管理实践要点分 析
运营商 IP 宽带网络和常见的针对以主机 为核心的 工 系统的安全风险管理不同, T 其理的方法和资料。 在项目执行的不同阶段, 需要特别注意以下要
点:
3 .8 威胁分析 威胁分析应该具有针对性. 即按照不同的 资产组进行针对性威胁分析. 如针对IP 城域 网, 其主要风险可能是 蠕虫、P 2P , 路由攻 击、路由 设备人侵等, 而对于DNS 或 AAA 平 台, 其主要风险可能包括: 主机病毒、后门程 序、应用服务的DOS 攻击、主机人侵、数据 库攻击, NS 钓鱼等。 D
人员.
是指某种威胁可能发生的概率, 其发生概 率评定非常困难 所以一般情况下都应该采用 定性的分析方法 制定出一套评价规则, 主要 由运营商管理人员按照规 则进行评价。 3. 9 风险处t 针对 IP 城域网风险分析结果, 在进行风 险处置建议的时候 , 需要综合考虑以下多 方面 的因素: 效用、成本 ,对业务,组织和流程 的影响、技术成熟度等 . 参考文献 川 A g m .计算机m络(第 4 版)[Ml.北京: 清 ) 华大学出版社, 2004 . [2] 钟诚. 信息安全概论[M ].武汉: 武汉理工大 学出版社.2000. [31 周明天 / 汪文勇 TCP/ IP 网络原理与技 术[M].北京: 清华大学出版社, 199 3
3. 7 威 影响 析 胁 分
是指对不同威胁其可能造成的危害进行 评定, 作为下一步是否采取或采取何种处置措 施的参考依据。在成胁影响分析中应该充分 参考运营商意见 尤其要充分考虑威胁发 生后 可能造成的社会影响和信誉影响。
3. 8 威 胁可 能性分 析 _
3.,安全目标 充分保证 自 IP 宽带网络及相关管理支 身 律系统的安全性. 保证客户的业务可用性和
软交换承载网接入IP城域网安全性分析
软交换承载网接入IP 城域网安全性分析单喆煜1,谢振华2(1.云南交通职业技术学院;2.中国电信昆明分公司,云南昆明650000)摘要:交换承载网的安全性直接关系到整个软交换的网络安全和业务质量,随着越来越多的新业务通过IP 城域网接入软交换,对承载网的安全提出了更大的挑战,本文对软交换承载网接入IP 城域网的安全性进行了分析研究。
关键词:承载网;IP 城域网;安全中图分类号:TN915.08文献标识码:A 文章编号:1673-1131(2013)01-0214-021软交换承载网接入IP 城域网面临的安全问题软交换承载网络采用的是IP 分组网络,通信协议和媒体流主要以IP 数据包的形式进行传送。
承载网接入IP 城域网后面临的安全威胁大大增加,主要有计算机病毒威胁和黑客攻击。
1.1计算病毒威胁软交换网络核心控制层和业务管理层如:SoftX3000、SG 、SHLR 、IGWB 、MRS 、N2000等设备的后台都是由计算机、服务器、数据库、操作系统组成。
由于承载网接入IP 城域网后,这些设备就更加容易受到IP 城域网公网网络的计算机病毒和网络攻击,导致关键进程吊死、系统访问缓慢、死机,严重将使整个网络瘫痪。
1.2黑客攻击从软交换网络运行情况来看,网络黑客可以通过公网对承载网进行攻击也可以对软交换核心控制层设备进行攻击,攻击手段主要有以下几个方面:1.2.1对承载网网络进行攻击黑客可以通过公网对软交换承载网发起攻击,大量占用网络资源和网络带宽,导致正常业务流无法转发,甚至使整个承载网网络瘫痪,黑客还可以通过攻击网络中的关键设备,篡改其路由和重要数据,导致路由异常,网络无法访问等,使软交换业务受到严重影响。
1.2.2对软交换核心控制层设备进行攻击(1)信令流攻击。
信令流经过代理服务器或软交换进行转发来完成端到端呼叫的建立。
目前使用的信令协议在安全性方面还不是很完善,攻击者很容易利用信令流来对服务器发起各种攻击,造成代理服务器吊死,用户业务中断等,攻击方式主要包括畸形信令报文攻击、注册劫持攻击、会话攻击三种。
城域网的原理及应用
城域网的原理及应用一、城域网的定义和发展城域网(Metropolitan Area Network,简称MAN)是指在一个城市范围内建立的覆盖广大地域的计算机网络。
它通常由一些局域网(LAN)组成,连接各个局域网之间的通信交换和路由设备。
城域网的发展始于20世纪80年代,随着计算机和网络技术的快速发展,城市中大量的个人计算机和企业网络之间需要进行可靠的通信。
城域网在交换大量数据和信息的同时,也为城市居民和企业提供了高速、稳定的网络连接。
二、城域网的原理城域网通过建设光纤传输网络和WLAN等设施,实现了不同局域网之间的通信和资源共享。
它采用了一系列的网络设备和技术,包括网络交换机、路由器、网桥等,以实现城域网内部和城域网之间的数据传输。
城域网的原理主要包括以下几个方面:1. 网络拓扑结构城域网的拓扑结构分为星型和环形两种。
星型结构指将所有局域网连接到一个核心交换机上,实现各个局域网之间的数据交换。
环形结构指将各个局域网连接成一个环,通过网桥或路由器实现数据的传输和交换。
2. 网络设备城域网使用了多种网络设备,其中最重要的是网络交换机和路由器。
网络交换机用于实现局域网内部的数据交换,而路由器则负责实现城域网之间的数据传输和交换。
3. 网络协议城域网使用了多种网络协议,包括以太网、TCP/IP、IPX/SPX等。
这些协议保证了城域网中各个设备之间的通信和数据传输的顺利进行。
4. 安全性城域网的安全性是一个重要问题,因为城域网连接了大量的计算机和网络设备,需要保护数据的安全性和隐私。
常见的安全措施包括防火墙、入侵检测系统和数据加密等。
三、城域网的应用城域网在实际应用中有着广泛的用途,主要包括以下几个方面:1. 企业办公和数据通信城域网为企业提供了稳定、高速的数据通信环境,使得企业内部各个部门之间可以快速交流和共享资源。
员工可以通过城域网进行文件传输、数据共享和在线协作,提高工作效率。
2. 城市公共服务城域网为城市的公共服务提供了技术支持,包括公共交通、电力、水务等领域。
信息安全风险管理在IP城域网中的应用研究
信息安全风险管理在IP城域网中的应用研究【摘要】信息安全风险管理理论在ip城域网中的应用是非常重要的。
我们正是要将这种理论很好的应用于现今的网络建设及应用当中,使得我们当前应用的网络环境更加得安全、可靠。
【关键词】信息安全;风险管理;城域网网络安全是网络时代的永恒话题,宽带城域网的网络安全是一项非常艰巨的任务,它总是伴随网络技术的发展而不断变化。
要充分考虑网络的整体安全性能,考虑设备容量及防攻击的性能,有效实施设备相关安全特性,同时又要透过复杂的技术细节,把复杂的网络简单化,把握宽带城域网的安全实质关。
只有建立全面的安全防护体系,才能向社会提供一个安全、高速、易用、智能化的网络。
1、ip城域网的安全问题ip城域网中,网络的各个层次承担了不同的能,具有不同的特点,通过分析各层的功能及特点得出对应的安全问题。
要保证整网的安全就必须证各个层次上的安全。
核心层是网络的核心,要负责整个城域网网络据包的快速交换、转发并且完成与骨干网通信。
核层具有节点数量少、业务容量大的特点,一旦核心出现故障,将不能为整个城域网提供服务,故在核层要求网络结构相对稳定、业务可靠性、安全性要高。
其存在的安全问题有:由于核心节点和链路故而导致业务中断;由于数据量大而造成网络阻塞的题;路由的安全问题;核心层设备自身受攻击的问题其常见的攻击有:(1)源路由攻击,报文发送方通在ip报文的option域中指定该报文的路由,使报发往一些受保护的网络;(2)拒绝服务攻击。
危在于受攻击后,网络可用带宽急剧下降,导致无法其它用户提供正常的网络服务,synflood攻击是型的拒绝服务攻击等。
汇聚层提供流量控制和业务管理的功能,也是证城域网中承载网和业务安全的基本屏障,更是保城域网安全性能的关键。
汇聚层面临的安全问主要是路由安全、各种异常流量、用户业务的安全,及用户访问的控制。
接入层是面向用户的外层网络,负责给用户提安全高速的多业务服务,其主要面临的安全问题是些基于二层协议的用户攻击行为和广播风暴等。
如何提高IP城域网中的信息安全管理
【 摘 要】 随着 宽 带 网络 和 用 户 规 模 的 不 断 增 长 , 户 对 宽 带 接 入 业 务 的 高 可 用 性 要 求 不 断 增 强 , 电信 运 营 商 在 I 域 、 入 网络 和 支 用 对 P城 接 撑 系统 提 出 了更 高 的安 全 性 要 求 。本 文 从信 息安 全 管 理 的 理 念 、 法 学和 相 关 技 术入 手 , 方 结合 电信 I P城 域 网 , 出 电信 I 域 网安 全 管理 、 提 P城 风
维普资与信息技 术O
S I N E&T C N L GYI F R CE C E H O O O MATO N IN
20 0 7年
第3 5期
如何提高 I P城域网中的信息安全管理
段祥 永 ( 潍坊市公 安 消防支 队 山东 潍坊 2 14 ) 6 0 1
e 建 议并 明确 项 目成 员 组 成 和分 工 : 1
d 1对项 目约束条件和风 险进行声明 :
e 对 客 户 领 导 和项 目成 员 进 行 意识 、 识 或 工 具培 训 ; ) 知 f 报项 目进 度 计 划 并 获得 客户 领 导 批 准 等 。 1汇 32项 目执 行 阶 段 。 - a 在 项 目范 围 内进 行 安 全 域 划 分 ; ) b 分 安 全 域 进 行 资料 搜 集 和 访 谈 , 括用 户 规 模 、 户 分 布 、 ) 包 用 网络
3 . 目总 结 阶 段 3项 a 项 目中 产 生 的 策 略 、 南 等 文 档进 行 审 核 和 批准 : 1 指
b )对项 目资 产 鉴 别 报告 、 险 分 析 报 告 进行 审 核 和 批 准 ; 风 e 对 需 要 进行 的相 关 风 险 处 置 建议 进 行 项 目安排 : )
维普资与信息技 术O
S I N E&T C N L GYI F R CE C E H O O O MATO N IN
20 0 7年
第3 5期
如何提高 I P城域网中的信息安全管理
段祥 永 ( 潍坊市公 安 消防支 队 山东 潍坊 2 14 ) 6 0 1
e 建 议并 明确 项 目成 员 组 成 和分 工 : 1
d 1对项 目约束条件和风 险进行声明 :
e 对 客 户 领 导 和项 目成 员 进 行 意识 、 识 或 工 具培 训 ; ) 知 f 报项 目进 度 计 划 并 获得 客户 领 导 批 准 等 。 1汇 32项 目执 行 阶 段 。 - a 在 项 目范 围 内进 行 安 全 域 划 分 ; ) b 分 安 全 域 进 行 资料 搜 集 和 访 谈 , 括用 户 规 模 、 户 分 布 、 ) 包 用 网络
3 . 目总 结 阶 段 3项 a 项 目中 产 生 的 策 略 、 南 等 文 档进 行 审 核 和 批准 : 1 指
b )对项 目资 产 鉴 别 报告 、 险 分 析 报 告 进行 审 核 和 批 准 ; 风 e 对 需 要 进行 的相 关 风 险 处 置 建议 进 行 项 目安排 : )
信息安全工程师考点:什么是局域网、广域网、城域网
信息安全工程师考点:什么是局域网、广域网、城域网什么是局域网、广域网、城域网?局域网LAN(LocalAreaNetwork):一般指覆盖范围在10公里以内,一座楼房或一个单位内部的网络。
由于传输距离直接影响传输速度,因此,局域网内的通信,由于传输于距离短,传输的速率一般都比较高。
目前,局域网的传输速率一般可达到10MB/S和100MB/S,高速局域网传输速率可达到1000MB/S。
特点1:覆盖的地理范围较小,只在一个相对独立的局部范围内联,如一座或集中的建筑群内。
特点2:使用专门铺设的传输介质(双绞线、同轴电缆)进行联网,数据传输速率高(10Mb/s~10Gb/s)。
特点3:通信延迟时间短,误码率低,可靠性较高。
特点4:各站为平等关系,共享传输信道。
特点5:多采用分布式控制和广播式通信,能进行广播和组播广域网WAN(WideAreaNetwork):是指远距离的、大范围的计算机网络。
跨地区、跨城市、跨国家的网络都是广域网。
由于广域的覆盖范围广,联网的计算机多,因此广域网上的信息量非常大,共享的信息资源很丰富。
INTERNET是全球最大的广域网,它覆盖的范围遍布全世界。
因为距离较远,信息衰减比较严重,所以这种网络一般要租用专线。
通过接口信息处理(Interface Message Processing,IMP)协议和线路连接起来构成网状结构,解决寻径问题。
这种网络因为所连接的用户多,总出口带宽有限,所以用户的终端速率一般都很低。
城域网MAN(MetropolitanAreaNetwork):其覆盖范围在局域网和广域网之间。
一般指覆盖范围为一个城市的网络。
城域网采用的是IEEE802.6标准。
它是一种最大可覆盖城市及其郊区范围、提供丰富业务和支持多种通信协议的公用网,实际是一种带有某些广域网特点的本地应用型公用网络。
可以说城域网的关键特征是公用多业务网。
一个完整的城域网在垂直方向上由城域传送网、城域承载网、城域业务/应用网及支撑网(如信令网、同步网、管理及用户支撑系统)组成。
浅谈宽带IP城域网组网方式
骨干 传送 技 术 的选 择 :大 型 宽带 城 域 网骨 干
网络 组 网时 , 核心 节 点问可 考 虑 25 bs OS技术 . 在 .G /P
OS技术 的传 送效 率 比 A M 要 高 , T 传输 速 率 比 对 于 I 务量 大 的城市 ,考 虑采 用 高速路 由器 因 为 P P业
可 网时 可 以考 虑设 置 4 6个核 心节 点 , — 再根 据各 城域 网 保证 包 的传送 速率 。为 了节 省 中继 电路 , 以考 虑
的业 务 情况 , 置 6- 汇 聚节 点 , 备 可 选 用 G 比 采 用不 完全 网状结 构 。因为 目前 城域 网 上最 大的业 务 设 - 8个 设 特路 由器 。 网络结构 如下 图 1所示 。 量 为上 网用 户 ,业 务流 量大部 分 为 出城域 范 围的 , 必
支 持 多业 务 、 供 Q S 服 务 质 量保 证 ) 提 o( 的技 术 优 势 ;
P S直接 在 S O DH上 传送 业 务 , 对 业务 提供 了完
善 支持 , 提高 了效率 ; I eO ta 极 大地提 高 了 而 POvr i l p c
传 输效 率 , 目前 常 用 I v E,9 PO e G 1 千兆 以太 网技术 。 r 1
来组 建 城域 网的骨 干 网部 分 。 因为需 要处 理 的 G E高 ;对 于会 聚层 节点 与 核心 层节 点之 间 的 中继 传
维普资讯
—— ——查 焦垫 2 0 芷 02
送 技 术 可 根 据 业 务 量 的 情 况 选 择 GE 和 比大 型网络 少 。
维普资讯
第2 2卷 第 1 期
20 0 2年 3月
山 东 通 信 技 术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈IP城域网网络安全
中国电信股份有限公司眉山分公司
【摘 要】进入新世纪以来,市场变迁,我国的IP城域
网的发展进入了一个新的阶段。以前人们对IP城域网的需求
主要为宽带,到如今逐渐向质量与可靠,有广泛业务的不间
断网络通信转变。网络安全作为网络质量的基础之一,已愈
发受到运营商的重视。在银行、政府、支付等特殊的企事业
单位中,对IP城域网的网络安全提出了更高的要求,间接的
推动了IP城域网网络安全的发展建设。本文从IP城域网网
络安全的现状出发,分析了几个常见的网络攻击方法并简单
的介绍了目前应对网络攻击的安全防护措施。
【关键词】IP城域网;网络安全;防护措施
从目前的分析来看,制约IP城域网发展的重要因素之一
就是网络安全。最近几年,网络安全事件发生的频率在逐年
升高,造成的损失也不断升高,因此面对如此严峻的网络安
全形势,必须对网络安全大力度的加以整治。
1 .IP城域网网络安全的现状
1.1IP城域网的概况
一般而言,城域网主要由三个层次构成,分别为核心层、
汇聚层以及接入层。
这三个层次在IP城域网中各自承担着不同的功能,他们
是IP城域网中不可缺少的一部分。IP城域网的核心层面临着
路由安全与核心层的设备自身安全等主要安全问题;汇聚层
又称为控制层,它主要面临的网络安全问题是路由安全、异
常流量的抑制以及用户的业务安全和对用户访问的控制;构
成接入层的主要是一些二层的接入设备,接入层面临的网络
安全问题是用户的攻击行为与对广播风暴的抑制。
1.2IP城域网主要存在的风险
随着目前网络的不断普及,城域网的用户快速增加,网
络安全问题就凸显出来,这些问题主要体现在五个方面:(1)
用户端引起的流量攻击问题,(2) 用户管理接入问题,(3)
大量垃圾邮件挤占网络带宽,(4) 大量出现以占用带宽为
目的的应用,(5) 网络安全的管理问题。
1.3IP城域网的安全现状分析
目前IP城域网的安全主要面对着以下的几个方面的问
题:(1)关键设备(如核心设备)以及关键链路(出口城域
网链路及BRAS/MSE上行链路)是否冗余(3)对核心层、汇
聚层以及接入层的管理混乱,导致用户随意接入,(4)网络
设备在某些功能上存在缺陷。(1)网络终端的防护能力薄弱,
(2)对网络缺乏相应的安全监控,除认证计费外,多数网
络处于开放状态,
2.常见的网络攻击手段
常见的网络攻击手段主要有地址欺骗、端口扫描以及应
用层攻击,?@些网络攻击对IP城域网的网络安全造成了很
大的威胁。
2.1地址欺骗
IP地址欺骗又被称为身份欺骗,网络攻击者把真实的IP
地址进行切状,并发送特定的信息,扰乱正常的信息传输。
IP地址欺骗也可以利用一些信息更改网络的路由信息,从而
达到窃取信息的目的。
2.2端口扫描
端口扫描是网络攻击者攻击网络的主要方法之一。这个
方法就是攻击者们利用公共公开的网络安全工具对网络系
统进行较大规模的端口扫描,进而获取相应的信息。攻击者
们用这种方法攻击IP网络,会占用大量的系统资源,会对正
在正常使用的设备造成较大的危害。
2.3应用层攻击
网络攻击者们使用应用层攻击的直接对象就是网络系
统的服务器,应用层攻击的条件相对较高,因此应用层攻击
者多为这个系统程序的初始设计者。他们可以再服务器的操
作系统中制造一个后门,绕过正常程序达到目的,而特洛伊
木马就是一个典型。
3.应对网络攻击的安全防护
3.1搭建IP城域网网络安全架构
IP城域网主要的安全隐患来自各个层次。针对核心层,
我们需要做到以下几个方面(1)选择高可靠高性能核心路
由器(2)做好冗余措施,避免单点故障,(3)选择合适的
路由协议,提高网络可靠性及效率(4)充分利用访问控制
列表(ACL)等措施做好流量过滤机流量攻击防范。
针对业务控制层,(1)BRAS/MSE上行到核心路由器链
路必须冗余,同时起到链路安全及流量负载分担功能(2)
强化访问控制列表(ACL),同时进行一些设置,以过滤或阻
止某些攻击企图,通过关闭不必要的服务降低风险。
针对接入网,(1)防止环路,尽量减少二层VLAN透传
(2)采用QINQ方式,有效隔离用户,防止ARP攻击等。
另外,需在全网做好黑洞路由等安全防护策略;同时对
各级设备都应注重强权限管理,加强用户名、密码、权限等
访问控制手段。而且对所有网络设备配置及各类数据都必须
进行及时有效的备份。
3.2应对网络攻击的主要技术策略
3.2.1设备防护。
设备是一切的基础,对设备的安全进行防护是构建IP城
域网网络安全的主要措施之一。对设备我们需要实行最小化
的服务原则,在使用设备时,关闭设备上一些并不需要的功
能服务。在认证方面使用单点登录集中认证的方法控制维护
人员的远程访问,同时远程访问需使用SSH方式,简介后还
需要有相关的信息提示。
3.2.2接入层防护。
接入层相当于网络终端与IP城域网的一堵墙,要想对网
络终端进行隔离就必须把接入层这堵墙建好。对接入层的建
设主要是加强对L2网安全防护,特别加强对H用户接入以
及网吧接入的管理工作。尤其对网吧的管理,现网已经出现
不止一次因为网吧遭受攻击而影响其接入的那台汇聚交换
机甚至是BRAS瘫痪的情况。这就要求全网部署好防流量攻
击策略等。
3.2.3计费认证系统防护。
相对其他缺乏安全监控的网络来说,认证计费系统的安
全防护工作还是做得很好。计费认证系统防护方面我们需要
对各个地市的计费认证系统进行集中的管理,对网络的访问
实现对不同业务主机的安全防护,定期的对认证计费系统进
行安全的扫描,对认证账号、IP进行保密。
4 .结论
在新世纪下整体的IP网络需要发展,但是IP城域网的
网络安全一定程度上制约着整个IP网络的发展,因此解决IP
城域网的网络安全问题势在必得。为了提高IP城域网的网络
安全水平,必须根据实际情况,制定相应的网络安全应急机
制,对整个城域网制定相应的应急预案,提高IP城域网整体
对网络安全的应对能力,做到防患于未然。
参考文献:
[1]辛荣寰.中国通信学会信息通信网络技术委员会2003
年年会论文集[C]. 2003.
[2]城域网网络架构优化研究[J]. 冯南梓. 网络安全技术
与应用. 2017(03):98-99.
[3]基于IP城域网的优化策略及发展应用[J]. 孔莹. 中国
新通信. 2015(04) :101-102.