劉國強(qiáng)

摘要：隨著IMS網(wǎng)絡(luò)的快速發(fā)展，IMS邊緣匯聚層的網(wǎng)絡(luò)安全成為重點(diǎn)關(guān)注之，該文針對(duì)IMS邊緣匯聚層來自互聯(lián)網(wǎng)的各種主要安全威脅，提出相應(yīng)的防范方法和措施，通過設(shè)置ACL策略等，有效了保證了網(wǎng)絡(luò)的安全。

關(guān)鍵詞：IMS； 安全； 防范； ACL； 策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）31-7321-02

Abstract： With the rapid development of the IMS network， the network security become one of the focus for the IMS edge convergence layer .This article in view of the IMS edge convergence layer of the major security threat from the Internet and put forward the corresponding prevent methods and measures， by setting the ACL strategy， effectively guarantee the safety of the network.

Key words： IMS； Security； Prevent； ACL； Strategy

隨著通信技術(shù)的發(fā)展和人們通信需求的多樣化，傳統(tǒng)的PSTN網(wǎng)絡(luò)技術(shù)和軟交換網(wǎng)絡(luò)技術(shù)已經(jīng)越來越無法滿足人們的需求，迫切需要一種可以融合有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)、并且能同時(shí)提供語音、數(shù)據(jù)以及其他增值業(yè)務(wù)的新技術(shù)，為此，人們提出了IMS[1，2] （IP Multimedia Subsystem）技術(shù)， IMS將最終融合固定網(wǎng)、移動(dòng)網(wǎng)、企業(yè)網(wǎng)、無線網(wǎng)等各種網(wǎng)絡(luò)，簡化網(wǎng)絡(luò)結(jié)構(gòu)，支持更豐富的定制化業(yè)務(wù)。

IMS采用了分層式架構(gòu)，不僅實(shí)現(xiàn)了軟交換中承載和業(yè)務(wù)控制的分離，更進(jìn)一步實(shí)現(xiàn)了控制和業(yè)務(wù)的分離，這種分層式架構(gòu)打破了傳統(tǒng)網(wǎng)絡(luò)的垂直式業(yè)務(wù)體系，通過模塊、接口的標(biāo)準(zhǔn)化，能快速地實(shí)現(xiàn)不同應(yīng)用業(yè)務(wù)的部署及新業(yè)務(wù)的引入，同時(shí) IMS采用了開放的網(wǎng)絡(luò)和業(yè)務(wù)能力，從而使應(yīng)用組合更加靈活多樣，與現(xiàn)有網(wǎng)絡(luò)相比，具有更加豐富的業(yè)務(wù)提供能力。

IMS網(wǎng)絡(luò)與傳統(tǒng)PSTN網(wǎng)絡(luò)和軟交換網(wǎng)絡(luò)相比，IMS網(wǎng)絡(luò)實(shí)現(xiàn)了全網(wǎng)IP化和扁平化。由于整個(gè)IMS網(wǎng)絡(luò)都通過IP相連，而且網(wǎng)絡(luò)中的接入層設(shè)備都暴露在公網(wǎng)中，入侵者就可以通過這些設(shè)備非法訪問IMS核心層設(shè)備，而邊緣匯聚層設(shè)備起到隔離公網(wǎng)和內(nèi)部網(wǎng)絡(luò)作用，其安全防范措施尤為重要。

1 IMS網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)

其中接入層設(shè)備主要是指直接連接用戶話機(jī)的各種接入設(shè)備，包括單用戶終端和多用戶終端等，該層設(shè)備處于公網(wǎng)環(huán)境下，信令、媒體等數(shù)據(jù)在公網(wǎng)中傳送，通過VPN等技術(shù)保證路由和數(shù)據(jù)的安全。

邊緣匯聚層設(shè)備主要是公網(wǎng)和內(nèi)部網(wǎng)絡(luò)的連接點(diǎn)和隔離點(diǎn)，其中BAC設(shè)備進(jìn)行公網(wǎng)IP地址和內(nèi)部網(wǎng)IP地址轉(zhuǎn)化，一方面保證業(yè)務(wù)的暢通，另一方面隔離了內(nèi)部網(wǎng)絡(luò)和公網(wǎng)網(wǎng)絡(luò)，保證內(nèi)部網(wǎng)絡(luò)的安全，而外網(wǎng)三層交換機(jī)主要連接接入層三層交換機(jī)，而內(nèi)網(wǎng)三層交換機(jī)主要連接核心層三層交換機(jī)。

核心層設(shè)備主要包括IMS核心處理設(shè)備，負(fù)責(zé)整個(gè)IMS業(yè)務(wù)的控制、業(yè)務(wù)轉(zhuǎn)發(fā)等，核心層設(shè)備處在內(nèi)網(wǎng)中，安全性相對(duì)較高。

2 邊緣匯聚層設(shè)備面臨的安全威脅

邊緣匯聚層設(shè)備一面連接內(nèi)網(wǎng)設(shè)備、一面連接接入層設(shè)備，暴露在公網(wǎng)中，其網(wǎng)絡(luò)安全威脅包括來自互聯(lián)網(wǎng)的各種安全威脅，該文總結(jié)邊緣匯聚層設(shè)備主要面臨的各種互聯(lián)網(wǎng)安全威脅如下：

1）三層交換機(jī)等負(fù)責(zé)處理進(jìn)入設(shè)備的數(shù)據(jù)流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報(bào)文攻擊。這些攻擊的主要目的是占用設(shè)備CPU的處理時(shí)間，造成正常的數(shù)據(jù)流量無法得到處理，使設(shè)備的可用性降低。

2）三層交換機(jī)的一個(gè)主要功能是進(jìn)行路由信息的交換。這一方面的主要威脅來自對(duì)路由信息的竊取，這樣會(huì)造成網(wǎng)絡(luò)路由信息的泄漏，使得侵入者可以通過偽造IP地址侵入內(nèi)部網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)帶來嚴(yán)重的威脅。

3）對(duì)系統(tǒng)管理來說，威脅來自于兩個(gè)方面，一個(gè)是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個(gè)是不嚴(yán)密的管理，如設(shè)備管理賬號(hào)的泄露等。

3 邊緣匯聚層設(shè)備的防范方法

1）加強(qiáng)密碼安全。一方面使用強(qiáng)密碼，增加密碼的復(fù)雜程度和長度，采用大小寫字母、數(shù)字、特殊字符混合而成的長位長密碼，這種方式可以大大減少侵入者破解的幾率。根據(jù)LockDown.com公布了一份采用“暴力字母破解”方式獲取密碼的“時(shí)間列表”，如果用一臺(tái)雙核心PC破解密碼，如果是最簡單的數(shù)字密碼，破解時(shí)六位數(shù)密碼瞬間搞定， 而如果采用數(shù)字、大小寫字母與特殊字符混合組成密碼，破解八位需要23年。同時(shí)定期修改密碼，一方面可以減少密碼泄露的幾率、另一方面可以進(jìn)一步增加侵入者破解的難度。

2） 如IMS邊緣匯聚層主要匯接SIP語音業(yè)務(wù)，在IP網(wǎng)絡(luò)中將SIP協(xié)議封裝在TCP或UDP中，端口固定，那么可以只開放TCP或UDP的固定端口以及其他一些必要的協(xié)議及其端口，禁止開放TELNET、SNMP、PING、FTP等協(xié)議訪問邊緣匯聚層設(shè)備，可以通過ACL訪問控制列表進(jìn)行訪問控制的方法實(shí)現(xiàn)以上功能，這樣可以防止侵入者利用這些協(xié)議的已知和未知漏洞對(duì)設(shè)備進(jìn)行非法操作。

3）網(wǎng)絡(luò)安全一個(gè)重要威脅就是通過發(fā)送大量垃圾數(shù)據(jù)來消耗三層交換機(jī)的資源，而使得網(wǎng)絡(luò)無法正常運(yùn)行。如發(fā)送大量非法源IP地址的連接請(qǐng)求到BAC，使得BAC由于處理能力不足而導(dǎo)致網(wǎng)絡(luò)癱瘓等，這時(shí)可以根據(jù)業(yè)務(wù)的特殊性進(jìn)行源IP地址的攔截，如IMS業(yè)務(wù)的源IP地址是固定的IP地址段，可以在外網(wǎng)三層交換機(jī)上設(shè)置ACL，只允許業(yè)務(wù)源IP地址段通過，其余源IP地址段地址一律攔截，這樣可以有效防止非法入侵。

4）對(duì)三層交換機(jī)不使用的物理端口進(jìn)行關(guān)閉。很多情況下三層交換機(jī)端口在不使用時(shí)不做任何處理，當(dāng)有線路連接時(shí)，端口自動(dòng)開啟并進(jìn)行協(xié)商，侵入者有可能通過端口協(xié)商使得端口自動(dòng)變成TRUNK模式，進(jìn)而通過TRUNK口非法獲取三層交換機(jī)內(nèi)部的數(shù)據(jù)流。

5）在外網(wǎng)三層交換機(jī)和接入層設(shè)備之間不要使用OSPF、GBP等動(dòng)態(tài)路由協(xié)議。這些動(dòng)態(tài)路由協(xié)議可能造成內(nèi)部路由泄露，使得入侵者可以獲知內(nèi)部組網(wǎng)結(jié)構(gòu)等信息，建議在外網(wǎng)三層交換機(jī)和接入層設(shè)備之間接口使用靜態(tài)路由，這樣外網(wǎng)只能看到有限的幾條路由信息，可以最大限度的隱藏內(nèi)部路由。

4 ACL的設(shè)置方法

設(shè)置了ACL之后，三層交換機(jī)對(duì)通過設(shè)置了ACL策略的端口來的每個(gè)數(shù)據(jù)包都要進(jìn)行策略匹配和處理，這樣會(huì)占用交換機(jī)的CPU和內(nèi)存等資源，因此ACL策略是會(huì)對(duì)三層交換機(jī)性能產(chǎn)生影響的，尤其對(duì)低端的三層交換機(jī)影響較大，因此，在設(shè)置ACL時(shí)，應(yīng)充分考慮條件的嚴(yán)謹(jǐn)性，盡量通過較少的條目來實(shí)現(xiàn)需求，在實(shí)際設(shè)置ACL時(shí)，確保ACL條目在50條以下，這樣既可以發(fā)揮ACL的作用又不影響交換機(jī)的正常工作。

5 結(jié)束語

本文首先分析了IMS網(wǎng)絡(luò)的結(jié)構(gòu)，總結(jié)了IMS邊緣匯聚層設(shè)備所面臨的各種安全威脅，并針對(duì)相關(guān)的安全威脅提出了對(duì)應(yīng)的防范方法和措施，通過以上方法，能夠有效的保證IMS邊緣匯聚層設(shè)備的安全。

參考文獻(xiàn)：

[1] 程寶平，梁守青，IMS 原理與應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2007.

[2] 左伯茹.IMS 網(wǎng)絡(luò)接入安全方案研究[D].北京：北京郵電大學(xué)， 2006.

[3] 孫麗敏.訪問控制列表應(yīng)用分析[J].通信管理與技術(shù)，2007.

[4] 劉軍，王彩萍. ACL 在IP 網(wǎng)絡(luò)中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2009.

[5] 張巍娜.QoS 與ACL 的配置及應(yīng)用[J].赤峰學(xué)院報(bào)：自然科學(xué)版，2009（2）.