宽带城域网的网络安全分析

随着计算机网络的发展，基于宽带城域网络的数据业务在社会经济生活中占有重要地位，网络安全性越来越重要。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述城域网的安全性。

一、前言

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。宽带城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。

随着网络安全问题重要性增加，如何设计一个稳定、可靠、安全和经济的城域网，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为宽带城域网建设和运营所关注的重点。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述宽带网络的安全性。

二、网络安全服务层次模型

国际标准化组织ISO在开放系统互连标准中定义了七个层次的网络互连参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次有不同的功能，例如链路层负责建立点到点通信，网络层负责路由，传输层负责建立端到端的进程通信信道。相应地，在各层需要提供不同的安全机制和安全服务。

在物理层要保证通信线路的可靠，不易被窃听。在链路层可以采用加密技术，保证通信的安全。在Internet、Intranet环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全适用。

在网络层，可以采用传统的防火墙技术，如TCP/IP 网络中。采用IP过滤功能的路由器，以控制信息在内外网络边界的流动。还可使用IP加密传输信道技术IP SEC，在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理，目前在产品兼容性和性能上尚存在较多问题。

在传输层可以实现进程到进程的安全通信，如现在流行的安全套接字层SSL技术，是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程对进程的安全服务和加密传输信道，采用公钥体系做身份认证；有高的安全强度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供访问控制。

针对专门的应用，在应用层实施安全机制，对特定的应用是有效的，如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件。又如用于Web的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的，缺乏通用性，且须修改应用程序。

三、宽带城域网的层次安全模型

对于宽带网络运营商而言，宽带城域网包括基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、边缘汇聚层、综合接入层构成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。

城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击，与业务相关的数据库服务器受到病毒的攻击，影响业务的正常运行，因此其安全设计考虑的重点与企业网络不同，用户的管理难度很大，安全管理制度实施困难，安全建设应更多地采用技术来保证网络和设备安全，并以用户管理作为辅助手段。

安全模型将宽带城域网分成三个区域：信任域、非信任域和隔离区域（非军事区）。信任域是宽带运营商的基础网络，通常采用防火墙等设备与电信业务网隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。

四、宽带城域网的层次安全分析

1. 信任域的安全

信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成，是城域网安全运营的核心所在，因而，必须采取最严密的安全措施。在一般情况下，信任域可能面临的威胁包括网络攻击、网络入侵、病毒（造成拒绝服务攻击）等。为了避免这些威胁，保证信任域的安全，可采取以下手段：

（1）部署防火墙，制定严格的安全访问策略，严格限制对此区域的访问；

（2）认真配置好系统软件和应用软件，跟踪操作系统和应用系统的漏洞及补丁进展情况，严格限定系统和应用所服务对象的范围；

（3）部署网络入侵监测系统（IDS）,对核心服务实施监控，对网络攻击和病毒及时报警；

（4）建立网管系统和日志系统；

（5）对重要的主机系统应采用双机热备份方式，对重要的应用系统和数据做好完善的备份工作，根据具体情况和需要设置灾难恢复系统。

2. 隔离域的安全

隔离域是城域网对外业务服务的平台，包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等，所有业务必须对外开放，因而安全威胁最大，也是最容易受到攻击的区域。为保证安全，可采取以下手段：

（1）部署防火墙，制定安全访问策略，特别是拒绝服务攻击（DDOS）；

（2）及时修补服务器的安全漏洞，关闭不必要的网络服务等；

（3）系统备份和日志系统等等。

3. 非信任域的安全

非信任域是网络业务的传输网络，主要由各种网络交换机组成，它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒，其危害性主要表现在三个方面：

（1）网络攻击或病毒攻击会消耗网络设备的系统资源，特别是CPU的处理能力，使正常用户报文丢失，造成网络故障。

（2）攻击会大量消耗四层资源，如TCP连接数资源，对网络服务器和NAT设备的影响很大。

（3）黑客对设备访问控制权的攻击。

城域网需要重点考虑的是非信任域的安全问题，加强设备自身的安全和日常维护流程，从技术和流程两方面来保证。

下面阐述如何从城域网分层的角度来加强网络设备的安全措施：

（1）城域网核心设备的安全

核心交换层由核心交换节点构成，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与全国骨干网络的互联，提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。威胁城域核心网安全的风险主要表现为核心设备遭受攻击或病毒引发网络流量激增，进而对设备性能产生冲击。

核心交换设备对安全性能的要求包括：

① 采用无阻塞交换设备；

② 采用逐包转发、分布处理、Wred等QoS技术，避免流Cache模型造成系统崩溃；

③ 节点关键设备冗余备份，系统出现软硬件故障时，可迅速切换到备用模块；

④ 网络设备采用多极安全密码体系，限制非法设备和用户登录；

⑤ 实现路由认证，保证路由协议安全；

⑥ 支持SNMP V3，安全网管；

⑦ 流量监控。

（2）城域网汇聚层设备安全

汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为城域网的业务提供层面，是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。

汇聚层设备的安全特性主要体现在以下几点：

① 用户接入网络的安全控制，包括加强口令、密码、智能卡等访问控制手段；

② 保证接入侧用户相互隔离，保证接入的安全性，防止IP地址被盗用或仿冒，防止用户间的相互攻击；

③ IP地址与MAC地址、卡号绑定，能够准确定位用户，包括端口或MAC地址，并可提供追查恶意用户的手段；

④ 支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数，有效防止DOS、DDOS类的攻击；

⑤ 支持访问控制列表（ACL），包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护，以及禁止部分用户访问或有选择地屏蔽网络服务；

⑥ 可实现对用户带宽的控制CAR；

⑦ 安全日志管理。

从长远看，BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段，将成为提高通信网络安全的关键。

（3）城域网接入层设备安全

通过各种接入技术和线路资源实现用户覆盖，提供多业务用户的接入，并配合完成用户流量的控制功能，包括xDSL、LAN和WLAN等接入方式。

设备采用的安全手段包括：

① 用户隔离；

② 控制用户流量带宽。