随着通信行业的飞速发展,各种新兴通信技术不断涌现,在为传统电信网络带来新的发展机会的同时,也对网络安全性带来一定冲击。如何保证网络持续、安全、稳定的运行,为其终端用户提供高质量、高可靠性的通信业务,成为电信运营商保持可持续发展的首要任务。
作为中国通信行业的主流供应商,上海贝尔阿尔卡特致力于为电信运营商提供完善的端到端的通信解决方案,以高可靠性、高安全性的通信网络,保障运营商业务的健康发展。
安全可靠的IP承载网络
IP技术的诞生加速了互联网的发展,但IP技术固有的特性导致其在安全性方面仍然有很多问题需要解决。在网络IP化的演进中,上海贝尔阿尔卡特多个层面加强了IP的安全性。
ACL过滤:上海贝尔阿尔卡特的IP解决方案能够支持线速的流量过滤,在端口上设置2000条过滤规则的情况下,7750SR的CPU负载低于30%,远远小于部分主要IP方案提供商70%的负载率。不仅如此,7750SR的过滤规则支持到第四层,为运营商更灵活地控制业务提供可能。
DDoS防范:对于DDoS的防范,通常的做法是通过IDS配合ACL的方式来进行,但这种方式容易造成ACL日志过大,设备负载过高的负面效果。ASB的IP方案通过开启Netflow,根据DDoS发生攻击的特征(如某种特定流量TCPSYN、UDPYN或者DNS流量会在短时间内突然增大等),在流量发生变化的早期就能够预测到攻击。并通过限制ICMP、UDP、TCPSYN的速率和地址过滤能够在不影响正常流量的情况下对DDoS进行防范。
路由平面智能切换:在网络攻击类型不断增长的今天,网元不仅应具备对已知攻击类型的防范能力,同时在新类型的网络攻击下,应该仍然保证正常的运作。上海贝尔阿尔卡特的7750SR通过引入智能的路由平面切换技术,能够保证在主用路由引擎遭受攻击失效的情况下,备用引擎智能识别同类型的攻击流量,并平滑的接管主路由引擎的工作,从而实现不间断业务。
VPN隔离:除了对网络攻击采取措施外,在IP网上为不同流量、用户划分VPN也是实现安全性的重要手段。上海贝尔阿尔卡特的IP解决方案能够在提供数千个L3VPN的情况下,仍然保持线速的转发。我们还应该看到,众多高端集团用户更倾向于采用租用线类的VPN,如ATMPVC、FR等方式,作为在IP网上提供租用线的替代方式,L2IPVPN的应用前景日趋广泛,如VLL、VPLS等。
端口镜像:不论是网元固有的智能流量分析,还是人为配置过滤规则等,都缺乏灵活性和实时性。网络运维人员更希望看到实时的业务和流量状况,以及时作出应对策略。上海贝尔阿尔卡特的IP方案提供端口镜像的功能,运维人员可以在通过网管在任何节点的端口监控网络上其他端口的流量和业务使用情况,突破了端口镜像仅能在单一网元上实现的限制,拓宽了运维的视野和灵活性。
先进的ASON智能光网络
作为智能光网络市场的领先者,上海贝尔阿尔卡特提供全套的端到端的ASON智能光网络解决方案,通过在传统的光传输系统中加载GMPLS控制平面引入智能控制能力,形成网状组网方式、分布式信令拆建电路、路由协议充分优化网络资源、资源和业务自动发现的智能光网络,使光传输网从“承载网”向着“业务网”的方向演进。
ASON网络解决方案具备大容量,高可靠性的特点,通过在核心层引入大容量的智能光网络设备实现灵活的组网、快速的端到端调度、强大的保护恢复能力,使得网络可以适合各种业务的网络生存需要。这种生存性最终体现在对业务质量或服务质量的保证。
上海贝尔阿尔卡特的ASON解决方案具备高扩展性和高维护性,能满足灵活的升级和扩容要求,并通过统一的网管平台保证了业务的端到端的管理,通过提供高质量传输和较低的网络建设及维护费用满足传输网络营运商可持续发展的需要。
上海贝尔阿尔卡特智能光网络解决方案采用智能控制、多业务传送技术,具有全球领先的业务智能快速配置、多重故障快速保护和恢复机制,能使运营商的传送网络更易管理和维护,具有更高的安全性和快速满足多种新一代城域业务发展需求的能力。同时,新的网络将成为支撑城域以太网业务、IP、ATM和3G移动等多种新业务的综合传送网。
G速宽带安全畅通
上海贝尔阿尔卡特为满足100%三重播放业务的接入需求,基于纯IP技术设计的IP多业务接入平台ISAM7302,采用面向所有用户的、能够确保未来安全的多样化服务接入平台和线速服务提供的全面无阻塞内部架构。其丰富的接入技术手段,包括ADSL2+,VDSL2,GPON,可实现三重播放业务的快速部署,可持续发展的经济组网方案。
随着三重播放业务的开展和全IP网络的演进,接入网络面临越来越多的安全隐患和网络攻击,如:DOS/TOS攻击所引发的广播风暴和信息窃取,非法接入用户的业务盗用和网络破坏等。上海贝尔阿尔卡特的IP多业务接入平台,直接接入终端用户,在提供高带宽接入同时,采用多种安全机制为以太接入网络和设备自身提供安全保障。
通过接入用户的合法性验证和限制避免非法用户的攻击,通过对用户业务流的过滤和列表控制防止因广播/组播流产生的网络拥塞和用户间的非控制直接互通,通过对二层MAC地址的学习、以太网VLAN的标识和用户端口标识实现用户标识和跟踪,通过三层IP地址检测和三/四层的控制信令的过滤机制提供更高层的安全保证,通过设备系统管理安全机制保证设备自身不受攻击及整网的安全运作,通过强大VLAN内和跨VLAN组播及基于帐号/端口的组播认证功能的提供在规模安全组播支持。
安全化设计的移动软交换系统
上海贝尔阿尔卡特设备和系统的研发阶段安全性有着全面的考虑和设计。以移动软交换系统为例,我们通过采用多项技术来保证系统的安全性,如完善的系统架构及软硬件设计、完善的中间件系统及内部安全机制、IP网络的物理隔离、IP网络的逻辑隔离、用户准入和操作权限管理、关键数据加密等等。
完善的系统架构及软硬件设计
上海贝尔阿尔卡特的无线软交换(WSS)设备采用SUN的电信级平台,该平台面向电信级应用,完全符合NEBS-3的电信级可靠性要求。同时采用了Solaris操作系统,相比WindowsNT,该操作系统安全性、健壮性和可靠性优势为业界公认。同时,该设备的系统架构设计完善,模块简单,所有模块之间的通信为系统内部通信,采用内部IP地址,与外网隔离,对外网完全不可见。此外,无线媒体网关(WMG)设备采用专有电信级软硬平台,操作系统对外不可见,可以避免任何网络攻击。
完善的中间件系统及内部安全机制
5020移动软交换系统中的WSS设备采用SUN的电信级服务器平台和Solaris操作系统。电信级服务器内部的双硬盘系统用于保护关键的配置、应用、计费和动态数据。在此架构之上,上海贝尔阿尔卡特通过完善的中间件系统提供全面的平台内部安全保障机制,包括:利用Heartbeat消息实时监控各板卡上核心进程和无线应用进程的执行状态;硬件故障或者核心进程出错时自动触发主备用倒换;提供全面的故障记录和跟踪机制用于故障诊断;在软件设计方面,我们从以下方面保证系统的安全性;系统利用业界领先的内存数据库系统用于主备用模块之间的数据备份和恢复;采用面向对象的软件设计和开发方法,使代码更优化,更易维护和修正;系统内部采用消息缓冲机制,保证内部数据路由和分发的安全性;提供多种形式的Audit机制,减少软件故障或错误所造成的影响;利用逐级扩展和恢复机制维持系统的高容错性和高可靠性;完善的过载控制机制保证系统运行在安全状态。
IP网络的物理隔离
5020移动软交换是一个内外隔离的系统,本身就具备了和外界IP网物理隔离的特性。对于计费、网管等与外网的接口,可以进一步进行物理隔离,即采用特定接口专门用于计费信息传送,网管系统连接,或Mc接口通信。这样上述接口互不干扰,保证各自的安全性。其中Mc接口可以采用运营上的专网承载,利用私有IP地址通信。
IP网络的逻辑隔离
对于系统与外网的接口,还可以采用逻辑隔离措施。可以利用防火墙和边缘路由器的IPSec或MPLSVPN等功能进行逻辑隔离,保证系统和计费、网管信息的安全性。
用户准入和操作权限管理
该系统提供严格的用户管理功能。管理用户账号,设定操作级别。根据操作用户的级别,严格限定操作权限。系统严格拒绝不合法用户的登录。
关键数据加密
系统支持数据加密功能。对于网管操作数据,用户登录信息,可以完全采用SSH进行加密。对于计费信息,提供SFTP(SecurityFTP)机制和SSH加密方式,保证关键数据的安全性。
可以说,5020移动软交换在系统和IP网络的安全性方面进行了完善的设计,拥有全方位的安全机制,保障了网络的安全运营。
如何保证网络持续、安全、稳定的运行,成为电信运营商保持可持续发展的首要任务。上海贝尔阿尔卡特的端到端通信解决方案能保障运营商业务的健康发展。
