假如你还停留在使用传统的电路交换方式(PSTN或者ISDN)接入到互联网,那么你将无法体会互联网多媒体应用给你带来的巨大魅力。网络用户们迫切需要一种成熟、低成本的网络接入方式,以迎接未来的海量数据传输。宽带网络正合他们所求。
速度有了,那么数据传输中的安全问题呢?
网络现实
青海省宽带互联网的拓扑结构采用双星形结构。以西宁节点作为省中心,采用思科核心路由器做为全省双星形拓扑结构的汇接,全省各地市节点以省中心为汇接节点,建立全省的交换中心和业务中心,下设包括西宁在内的7个接入节点。全网省出口设置在西宁节点,实现与国家骨干网的互连。目前青海电信宽带互联网正高速、经济、稳定、卓越服务质量和持续安全地运行着。
为了适应更加广泛的宽带业务应用,更加完善的推广宽带接入,形成以城市智能化小区和综合布线大楼为单元的全城数码网络,在西宁构建宽带网络的过程中,采用了以宽带DPT光传输环技术为基础的覆盖全市的骨干网和以太网为主要网络接入手段的层次化网络结构模型。
心系安全
青海电信宽带网系统的总体安全级别符合短板效应原理,系统安全级别的高低取决于系统安全治理最薄弱的环节。要加强系统的总体安全级别,不是安装一个产品或几个功能单一的工具就能实现的,必须从网络、计算机操作系统、应用业务系统甚至系统安全治理规范,使用人员安全意识等各个层面统筹考虑。
网络用户面临的安全性威胁主要有四种:泄露、假冒、篡改、恶意攻击。其中,主机、路由节点以及传输线路则是网络中被攻击的主要目标。
对于网络用户而言,安全性问题已经成为个人用户以及企业级用户进行网络交流时需要考虑的第一要务。
网络运营商对于自身网络的安全问题更为重视,安全保障失败将使其网络用户在进行电子商务和新式网络应用时丧失信心,严重影响运营商的业务开展和业务运营;同时,假如运营商自身的治理和计费系统遭受安全攻击,其损失不可估量。
西宁宽带整体网络示意图
立体防御
在青海宽带项目中,思科为其度身定制及成功部署的整体安全解决方案,为电信级安全网络做出了正面例证。
1.主干网络
在保证网络运行效率的前提下,采取各种措施尽可能使网络变得更加安全,对于主干网络,采取的安全性措施包括:
访问级的安全控制
该安全措施的核心点在于有效控制对节点的访问。在该安全措施的实施中,没有把对用户身份的鉴别和对权限的验证等功能孤立起来,分散在各个远端的路由器上实现,而是使用集中式的控制方式利用TACACS/RADIUS Server的方式实现,设立一台专门用于保证安全性的服务器,连接在这个网络的所有网络节点和其上的治理用户,不管它需要以什么样的方式访问网络设备,都必须通过服务器的安全性监测,从而在访问级层面上实现整个网络的安全。
主干网的数据流过滤
为了实现在主干网上对数据流进行过滤,可以通过对传输数据流的源、目的ip地址的过滤实现;路由器中提供的防火墙功能称之为ACL(access Control List),它主要是完成过滤功能,包括如下功能:
●Standard IP access-lists: 使用IP源地址进行处理;
●Extended IP access-lists: 使用IP源地址和目的地址进行处理,同时也可选用协议类型进行处理;
●Dynamic extended IP access-lists: 答应特定用户访问特定的源或目的主机。
考虑到提供强劲的过滤功能往往还不能满足网络安全的要求,还为青海电信宽带城域网设计一种记录统计功能,实现对试图突破过滤器的入侵者入侵次数的信息记录统计,包括入侵者的源、目的IP地址;源、目的端口号及包文数量等,以便网络治理员采取相应的对付措施。
网络设备的身份认证
为了实现对于网络设备的身份认证,选用具有身份鉴别功能的路由协议,如OSPF、EIGRP。通过md5(Message Digest 5)加密技术判定接收到的路由信息是否可靠,抛弃他人恶意伪造的路由信息。
网络设备安全化治理
为了达成网络设备治理的安全化,对网络设备的治理设立多级层次,如只可查询网络连接情况者,可修改路由设置者,以及具有所有权限者。并且将所有人员的每次治理行为进行集中记录,在可能的情况下采用带外网管的方式,实现网管网与数据承载网的隔离。
2.用户接入端
对于各介入用户系统的安全保障,除了采用访问控制、多级治理、路由确认、IP流过滤控制等与主干网络的安全防护相类似的手段外,还为青海电信宽带采用了以下几种更专门的安全技术来保护各接入用户。
网络层信息加密
对网络层进行信息加密是为了减轻主干网络设备负载,提高其效率,但信息加密等安全措施应由各用户自己完成。
隔离每个用户
采用每个用户一个虚拟网或者PPPoE 的方式隔离用户,有效防止伪造IP 地址等事件的发生。
安全策略违规记录
可在路由器上或另外指定任一台UNIX机器记录违反安全访问列表的行为,为网络系统的安全性检查提供必要信息。
安闲畅游
基础网络的高安全性已经成为电信运营商选择网络厂商及其相关产品的最重要因素之一。同用户一样,运营商也渴望获得网络环境的安全,自由的翱翔在自身构建的健康网络系统之中,为其用户提供更多、更高质量和更有赢利前景的基本电信服务和网络增值服务,并实现安全的计费、治理和维护。
事实证实,思科的安全解决方案是集成于用户级网络基础架构之上的整体安全解决方案,充分体现了思科模块化安全设计和分层防御思想的SAFE安全蓝图、针对异构安全产品间的互操作而提出的AVVID合作伙伴计划以及安全认证专业化,为青海电信宽带实现城域网络动态防护和整体安全的同时,也成功夯实了青海电信网络与安全双重的坚实基础。
SAFE安全蓝图采用了模块化设计和分层防御的思想,使青海电信宽带网络安全防御体系具备了良好的弹性和可扩展性,可以根据西宁城域网拓扑结构的变化灵活进行安全策略调整,以实现对于该城域网的动态防护和整体安全。
为了有效应对不法分子的复合式攻击,在为青海宽带城域网构筑的安全防御体系中运用了多种安全产品的联合防御方法,这些安全产品来自于不同的厂商,通过思科的AVVID合作伙伴计划集成一体,使这些异构产品之间维持了良好的互操作性,沟通顺畅、互动及时,一同担负起维护青海电信宽带城域网整体安全的“保安”职责。