分享
 
 
 

Chinaitlab来稿:城域网安全建议――汇聚层

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

作者:资深网络安全顾问 冯朝明 CCIE

摘要:对于城域网的安全,我们可以进行分层考虑,下面就对汇聚层安全来进行阐述。

关键词:网络安全城域网

汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理(用户识别、授权、认证、计费)功能,作为城域网的业务提供层面,它是使城域网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。

对汇聚层设备提出的安全建议主要归纳为以下几点:

●调整BRAS部署策略

进行BRAS边缘化,访问控制可以在边缘BRAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BRAS访问控制功能转移到防火墙后,这样可以降低BRAS负载,及进行更细粒度的访问控制。

限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能, BRAS推到边缘后,VLAN ID数目受到的限制问题也得到了缓解。

细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。

●部署小容量BRAS服务器,PVLAN的划分和端口保护技术,专线用户的VLAN在城域网汇聚层终结

进行接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;充分利用宽带接入服务器BRAS支持802.1q的特性,来实现对不同用户的服务,缩小广播域,提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器,可把原来的超大二层网络分成若干个小型的二层网络,降低管理的难度和复杂度。

在若干小型网络中还可以继续划分PVLAN,PVLAN是在802.3Q

VLAN的基础之产生的,是在VLAN内进行进一步的VLAN划分,从而可以实现灵活的用户隔离方案,即把同一VLAN里的不同端口进行逻辑的隔离,从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是提供对端口进行相应的配置来实现保端口隔离,各个保护端口只允许与非保护端口进行信息交流,而各个保护端口之间的信息不能互通;一般来讲,PVLAN和端口保护技术结合使用效果会更好。

宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,还会影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到网络核心。

●用户认证机制,安全密码体系

目前常见的用户认证机制主要可以分为两大类,一种是基于网关的验证机制,利用BRAS+AAA验证服务器完成对用户的身份验证, AAA绑定一般采用的都是静态绑定方式,而动态绑定一般是在接入设备上实现的,绑定技术的有效应用,主要用于解决帐号盗用,用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开,认证服务只需对用户的认证信息(控制信息)进行验证,通过验证后,用户数据包就不再通过认证服务器而直接由交换机处理。

根据我们实际的情况,对于纯的DLSAM汇聚方式那部分网络,可以采用第一种基于网关的验证机制,利用BRAS+AAA验证服务器完成对用户的身份验证,所有拨号用户都首先进行拨号与 BRAS进行连接,从BRAS获得动态分配给的IP地址,并从AAA服务器获得用户名验证信息,从而完成通讯。

对于具有支持IEEE802.1X认证机制的二层以太交换机部分,我们采用第二种基于IEEE802.1X的认证机制,IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起,交换机要求用户提供有关的用户名和口令信息,通过了认证,端口就激活,实现正常访问,否则断开。

通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制,而不是基于每个站点内的所有用户计费。

用户接入网络的密码验证,包括加强口令、多层密码设置等访问控制手段,口令必须进行MD5加密,长度和复杂性必须符合规定,还要设置多层密码,层层设防。

●IP地址、MAC地址、用户名及卡号绑定

IP地址、MAC地址、用户名及卡号绑定能够准确定位用户,并可提供追查恶意用户的。

对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定,将不同VLAN内对应用户的MAC地址送到BRAS,再由BRAS将其送到AAA服务器,实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用,也可确定出用户上网的位置,如果用户名和密码被盗,通过这一方式可以确定偷盗者的上网地点和时间,为问题的解决提供重要线索。

针对专线用户,是纯粹的固定IP网络,我们可以采取多种手段来对其进行安全管理,管理功能必须依靠三层网络设备,多数BRAS可将用户的IP地址、MAC、用户名、端口、卡号一起绑定或有选择的绑定,限制用户对IP地址的随意修改,增强了网络的安全性。

●访问控制列表(ACL),IP地址数量及连接数的限制

我们可以在路由器中创建ACL列表,采用多种过滤规则来对目标网络进行的保护,可以针对于不同服务、不同协议和MAC地址进行访问控制。

网络设备上进行设置,来限制基于不同协议的过多的连接数或IP地址数,例如:限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数等,有效防止DOS、DDOS攻击。

●流量整形、拥塞控制、队列调度及CAR等QOS保障

在网络设备上对用户接入的业务流进行匹配,对相应用户业务流按照约定的速率进行带宽限制,通过入口或出口的CAR和流量整形进行调整,保证重要业务流的带宽;进行拥塞设置,当流量超过缓存值时,路由器入口处就将该流量超过阀值的数据包丢弃,同时告诉数据源端的TCP应用减少窗口尺寸。

对于支持VC Shaping的BRAS设备来说还可以针接入用户的发送数据频率来进行控制;对不同的应用进行不同的队列优先级分配,当网络拥挤时,保证重要数据优先通过,从而实现队列调度。

●安全日志管理,流量监控

保证网络设备具备审计信息发送、查询、统计等功能;进行设备日志的配置,记录和观察网络的运行情况,来进行信息跟踪。

对网络的拓扑、设备、流量、等进行深入的分析,找出对网络影响最大的因素或找出网络流量、用户及业务增长的规律,在网络出现故障或者是在网络即将出现瓶颈之前给出科学的预测,对网络进行优化、升级、或改造,以满足不断增长的用户和业务的需求。

通过流量监控,可以从上网行为上很容易辨认(比如非包月用户长时间在线等),相应可以采用流量计费方式和资费政策使盗用的行为不能有效。

个人信息:

姓名:冯朝明

英文名字:Mars.Feng

专业认证: CCIE

性别:男

职业:资深网络安全顾问

电子信箱:mycisco@263.net

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有