郭斌

目前網(wǎng)絡(luò)安全問(wèn)題日益突出，其原因在于電信運(yùn)營(yíng)寬帶城域網(wǎng)發(fā)展迅速。一些較為常見(jiàn)的安全問(wèn)題已經(jīng)能在BAS/SR設(shè)備上解決，常用手段有傳統(tǒng)IP地址欺騙、ARP欺騙等。而尚未解決的安全問(wèn)題，已經(jīng)嚴(yán)重干擾寬帶城域網(wǎng)的運(yùn)行和業(yè)務(wù)發(fā)展，比如DDOS攻擊、垃圾郵件、低俗網(wǎng)絡(luò)等，并影響社會(huì)的良好運(yùn)行，因此寬帶城域網(wǎng)的安全建設(shè)已經(jīng)迫在眉睫。

【關(guān)鍵詞】寬帶 城域 安全 建設(shè)

1 寬帶城域網(wǎng)安全模型

信任域、非信任域以及隔離域共同組成寬帶城域網(wǎng)安全模型。信任域作為基礎(chǔ)網(wǎng)絡(luò)，隸屬于運(yùn)營(yíng)商，和電信業(yè)務(wù)網(wǎng)相互分離，防火墻是常被運(yùn)用的設(shè)備，信任域有多種類(lèi)型，如支撐系統(tǒng)、網(wǎng)管系統(tǒng)、智能業(yè)務(wù)平臺(tái)等。非信任域是基礎(chǔ)網(wǎng)絡(luò)，也隸屬于運(yùn)營(yíng)商，為客戶服務(wù)，主要應(yīng)用于接入和業(yè)務(wù)，且是Internet網(wǎng)絡(luò)的組成部分，主要設(shè)備有基礎(chǔ)用戶接入、數(shù)據(jù)交換以及媒體網(wǎng)關(guān)，該網(wǎng)絡(luò)有時(shí)會(huì)脫離互聯(lián)網(wǎng)的控制。隔離域作為平臺(tái)目的在于實(shí)現(xiàn)信任域和非信任域的數(shù)據(jù)交互，該業(yè)務(wù)平臺(tái)種類(lèi)較多，有web服務(wù)平臺(tái)、ftp服務(wù)器、dns服務(wù)器等等。信息傳輸?shù)幕A(chǔ)是非信任域，作為基礎(chǔ)網(wǎng)絡(luò)，是城域網(wǎng)中的主要組成部分，起到很大的作用，因此，在安全模型的建立過(guò)程中，應(yīng)當(dāng)對(duì)非信任域予以重點(diǎn)考慮。

2 寬帶城域網(wǎng)安全分析

2.1 信任區(qū)域的安全

信任域的安全性較為關(guān)鍵，是寬帶城域網(wǎng)運(yùn)用的重點(diǎn)，因此為保障其安全，應(yīng)當(dāng)采取相應(yīng)的措施。一般情況下，信任域會(huì)受到多種攻擊，如網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵以及病毒等。為保證信任域的安全，可以采用如下方式。第一，對(duì)防火墻予以部署，保證安全訪問(wèn)策略的嚴(yán)格性，對(duì)此區(qū)域的訪問(wèn)進(jìn)行嚴(yán)格限制。第二，在系統(tǒng)軟件和應(yīng)用軟件的挑選上予以嚴(yán)格限制，且予以配置，對(duì)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞和補(bǔ)丁情況予以關(guān)注，同時(shí)對(duì)進(jìn)展情況予以監(jiān)測(cè)。同時(shí)對(duì)系統(tǒng)和應(yīng)用的服務(wù)對(duì)象范圍予以界定。第三，對(duì)網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)予以關(guān)注，且進(jìn)行部署，重點(diǎn)的監(jiān)控對(duì)象是核心服務(wù)，若發(fā)生網(wǎng)絡(luò)攻擊和病毒，可以及時(shí)警報(bào)。第四，堅(jiān)持完善網(wǎng)管系統(tǒng)，同時(shí)完善日志系統(tǒng)。第五，在處理主機(jī)系統(tǒng)問(wèn)題上，應(yīng)當(dāng)運(yùn)用雙機(jī)熱備份方式，同時(shí)應(yīng)用系統(tǒng)和數(shù)據(jù)的備份工作也應(yīng)當(dāng)做好，且還應(yīng)根據(jù)具體情況，進(jìn)行需要設(shè)定，對(duì)系統(tǒng)工作予以恢復(fù)。

2.2 隔離域的安全

隔離域的作用在于能夠連接寬帶城域網(wǎng)和對(duì)外業(yè)務(wù)服務(wù)，業(yè)務(wù)應(yīng)當(dāng)具有足夠的對(duì)外開(kāi)展空間，才能使安全的威脅降到最低，此時(shí)該域也是最容易受到破壞的部分。為實(shí)現(xiàn)安全性保障，可以采取以下措施。第一，對(duì)防火墻予以部署，保證安全訪問(wèn)策略，其中分布式拒絕服務(wù)攻擊應(yīng)當(dāng)予以重視。第三，對(duì)服務(wù)器的安全漏洞予以修補(bǔ)，拒絕接入不必要的網(wǎng)絡(luò)服務(wù)。第三，同時(shí)做好系統(tǒng)和日志的備份工作。

2.3 非信任域的安全

作為傳輸網(wǎng)絡(luò)，非信任域和用戶的接入和業(yè)務(wù)直接相關(guān)。但是非信任域容易受到攻擊和不同病毒，其安全性存在重大威脅。主要可以從以下三個(gè)方面進(jìn)行闡述，第一，網(wǎng)絡(luò)設(shè)備的系統(tǒng)資源將會(huì)增大網(wǎng)絡(luò)攻擊和病毒攻擊，造成CPU處理能力降低，形成網(wǎng)絡(luò)故障，導(dǎo)致用戶的報(bào)文丟失。第二，攻擊和病毒會(huì)導(dǎo)致資源消耗，如若采用TCP連接數(shù)資源，會(huì)對(duì)網(wǎng)絡(luò)服務(wù)器產(chǎn)生重大影響，且大大影響NAT設(shè)備。第三，對(duì)設(shè)備訪問(wèn)控制過(guò)程中，黑客的攻擊性應(yīng)當(dāng)受到重視。目前為止，針對(duì)信任域和隔離域，已經(jīng)逐漸采取了安全措施，同時(shí)寬帶城域網(wǎng)對(duì)非信任域的安全問(wèn)題應(yīng)當(dāng)予以重視，尤其在城域承載網(wǎng)的安全建設(shè)問(wèn)題上。

3 寬帶城域網(wǎng)安全建設(shè)及常見(jiàn)故障處理方案

3.1 防DDOS攻擊網(wǎng)絡(luò)部署方案

根據(jù)筆者的相關(guān)經(jīng)驗(yàn)，認(rèn)為防DDOS攻擊網(wǎng)絡(luò)部署方案，可以從以下四個(gè)方面著手。第一，建立專(zhuān)門(mén)的清洗中心，將核心路由器予以盤(pán)掛和直掛，通過(guò)靜態(tài)的方式對(duì)指定流量予以防護(hù)，同時(shí)清洗設(shè)備還能夠?qū)Ξ惓Ａ髁窟M(jìn)行清晰，將該用戶端納入保護(hù)范圍。在本方案中，有不少優(yōu)點(diǎn)，主要有部署簡(jiǎn)單、成本不高等優(yōu)點(diǎn)，且對(duì)用戶進(jìn)行特定保護(hù)的過(guò)程中，需要做好深度、實(shí)時(shí)檢測(cè)和清洗工作，此時(shí)不會(huì)造成延遲防護(hù)，會(huì)產(chǎn)生比較好的效果，但也有不好之處，比如，靜態(tài)防護(hù)需要一定容量的清洗設(shè)備，且隨著流量的擴(kuò)大，容量也增大，所以如果選擇直接部署方式，清洗設(shè)備的量將會(huì)成為清洗限制，因此這種方式一般較為適合小型網(wǎng)絡(luò)，對(duì)清洗流量要求不高。第二，同樣建立新的清洗中心，對(duì)進(jìn)行城域網(wǎng)流量進(jìn)行探討和分析，利用Netflow工具， 同時(shí)將該清洗中心在核心路由器上進(jìn)行盤(pán)掛。對(duì)攻擊流量進(jìn)行檢測(cè)，通過(guò)設(shè)備的自動(dòng)下發(fā)引流策略，一直到達(dá)核心路由器設(shè)備，且將異常流量進(jìn)行清洗，在清洗完成之后，還可以將流量進(jìn)行回注。本方式的優(yōu)點(diǎn)同第一種方式一樣，在成本上都消耗比較少。主要應(yīng)用的區(qū)域是大型城域網(wǎng)以及IDC網(wǎng)絡(luò)，同時(shí)應(yīng)當(dāng)做好部署Netflow工作，其性價(jià)比都比較高。但也有缺點(diǎn)存在，因?yàn)镹etflow技術(shù)并非十分成熟，技術(shù)上仍有瓶頸存在，因此在檢測(cè)攻擊時(shí)，會(huì)造成比較大的時(shí)間延誤，同時(shí)對(duì)采集有一定的要求，針對(duì)應(yīng)用層進(jìn)行攻擊識(shí)別，打那時(shí)其缺點(diǎn)在于不能識(shí)別小流量攻擊。此外，還可以通過(guò)DPI 深度報(bào)文全流量檢測(cè)對(duì)進(jìn)入城域網(wǎng)流量分析以及針對(duì)寬帶組建專(zhuān)門(mén)建立VPN。

3.2 防止垃圾郵件安全方案

在寬帶城域網(wǎng)中，垃圾郵件的數(shù)量很多，要對(duì)該問(wèn)題進(jìn)行根治，需要做好幾方面的工作，比如對(duì)個(gè)人素質(zhì)和意識(shí)進(jìn)行提升是非常重要的方面。就目前來(lái)看，垃圾郵件對(duì)人們的生活造成了非常大的影響。主要表現(xiàn)在兩個(gè)方面，一是大量的垃圾郵件接收，使得用戶不能正常使用郵件，第二，網(wǎng)內(nèi)用戶在向外發(fā)送垃圾郵件的過(guò)程中，一些無(wú)辜的用戶會(huì)被國(guó)際反垃圾郵件組織列入黑名單。筆者認(rèn)為要解決以上兩個(gè)問(wèn)題，可以從以下兩個(gè)方面入手，第一，通過(guò)選擇比較穩(wěn)定的企業(yè)郵局系統(tǒng)，一個(gè)好的郵件胸膛呢，對(duì)整個(gè)垃圾郵件而言具有較好的控制能力，同時(shí)功能還較為齊全。此時(shí)，通過(guò)對(duì)反垃圾郵件引擎的設(shè)置，以及設(shè)置相應(yīng)的規(guī)則，對(duì)該問(wèn)題予以規(guī)制，從而在最大程度上對(duì)垃圾郵件予以控制。第二，在目前的城域網(wǎng)中加入一些反垃圾郵件的功能，主要的設(shè)備部位在后端系統(tǒng)功能模塊中，分析對(duì)象是用戶數(shù)據(jù)，同時(shí)如果發(fā)現(xiàn)大批量的相同郵件發(fā)送的情況，可以將該郵件的轉(zhuǎn)發(fā)進(jìn)行限制。endprint