论文部分内容阅读
[摘 要]信任区包括NGN承载网的骨干层设备以及汇聚层设备,这些设备由于不直接接入最终业务用户,因此,该区域面临的威胁相对小一些。城域网核心及其Internet出口的特点就是节点数量相对较少、速度高、稳定和可用性要求较高,根据这些特点,城域核心网的安全风险主要是核心设备遭受DDOS攻击以及病毒引发的网络流量大增对设备性能产生的冲击。其中,由于城域网核心层及出口处汇聚了进出城域网的所有流量,从全局的角度分析,此处提供了了解城域网流量的最佳观测点。
[关键词]信任区;安全;机制
中图分类号:TP393.05 文献标识码:A 文章编号:1009-914X(2014)33-0354-01
1 NGN承载网骨干层安全保证措施
阻止外来的非法Internet流量冲击本地城域网;
阻止本城域网的非法流量危害Internet公网。
核心的IP网建议采用全网状/半网状的互连组网,要求具有路由备份能力,边缘路由器和网关设备通过双归属的方式跟核心骨干网互连;通过实施网络设备本身的一些安全特性,比如ACL,路由认证等手段,也可以提高整个网络的安全性;
城域核心网的安全风险主要是核心设备遭受攻击以及病毒引发的网络流量大增对设备性能产生的冲击,核心交换设备的安全要求主要考虑几个方面:
建议采用无阻塞交换设备;
逐包转发,分布式处理,和WRED等QOS技术,避免流CACHE模型造成的系统崩溃;
节点关键设备冗余备份,为了保障网络安全,降低网络故障,关键设备所有关键部件都采用冗余备份设计,电源模块N+1备份,控制和交换板采用1+1冗余备份。对网络设备采用多极安全密码体系,限制非法设备和用户登录,在出现软硬件故障时,可以迅速切换到备用模块,保障业务的不间断运行。
路由协议具有认证功能,我们可以通过在核心设备上采用例如BGP、ISIS、OSPF等MD5认证方式,实现对路由协议的认证,保证路由协议安全,避免非法网络设备对网络的影响;
支持SNMP V3,安全网管;支持对流量进行监控分析。
物理链路层的备份:采用SDH、MSTP、RPR等技术可以保证物理链路故障倒换时间小于50ms。
对一些关键节点可以采用双归属方法进行备份
采用VRRP、FRR等技术可以对一些关键路径进行备份。
2 NGN承载网汇聚层安全保证措施
汇聚层负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理(用户识别、认证、计费)功能,作为城域网的业务提供层面,是可运营、可管理城域网最重要的组成部分。边缘汇聚层的作用是汇聚分散的接入点和接入层上连接的用户流量,进行业务汇聚和分发,并进行用户管理,实现基于用户的访问控制和带宽许可,提供安全保证和灵活计费。因此,在边缘汇聚层,必须有宽带用户管理的能力的设备存在,汇聚层设备应具有BAS功能。
城域网的主体相对NGN业务网络来说都是非信任区,需要在严格控制下才能接入NGN业务网信任区内。
面对非信任区域面数量巨大的界面,传统的部署防火墙、杀毒软件、IDS、入侵检测等方法技术对城域网汇聚层作用不大,因此,将防御能力延伸到网络边沿,在平衡成本的条件下,在尽量靠近用户的接入层网络设备上配置访问控制策略,在尽量靠近用户的汇聚层对用户进行身份认证,以识别、限制和控制用户各种非法报文进入城域网,减少网络安全风险,是我们城域网汇聚层安全的核心。
汇聚层设备是用户管理的基本设备,是保证IP城域网承载网和业务安全的基本屏障,因此,汇聚层设备安全性是建设安全的IP城域网的关键。病毒对网络和汇聚层设备的安全危害主要表现在两个方面:
(1)设备控制平面的冲击:一般来说,网络攻击中需要网络设备进行解析的报文数量增加,消耗设备CPU处理能力,造成正常用户需要相应的报文丢失,从而造成网络故障。
(2)设备转发平面的冲击:边缘设备如果不对用户进行唯一性和合法性检查,会造成网络攻击流量被设备做为正常流量转发,对设备上行流量和网络中其它设备造成冲击。
(3)网络关键资源的消耗:此种攻击一般来说,主要指针对网络四层的资源消耗,譬如TCP连接数资源的消耗。此种攻击对网络服务器和NAT设备等影响很大。
不管哪种攻击,都可能造成设备的不稳定,影响设备对于用户正常流程的处理,导致用户出现拨号困难、拨号后经常下线、用户上网网速很慢、部分网站无法访问等情况发生。
保证IP城域网安全,对汇聚层设备安全特性主要考虑一下几点:
汇聚BAS设备能够保证接入侧用户相互隔离,保证接入的安全性,能够防止IP地址盗用、仿冒等行为,能够防止用户之间的相互攻击;
IP地址与MAC地址、卡号绑定,要求能够准确定位某个用户,包括某个端口和某个端口下某个MAC地址,并提供相应的手段追查恶意用户。
支持限制每个用户端口的最大接入IP地址数、PPP会话数,TCP/UDP连结数,有效防止用户DOS、DDOS类攻击。
支持访问控制列表(ACL),包括支持在虚拟路由器中创建ACL列表,可根据IP、ICMP、UDP进行过滤,多种过滤规则可提供多种层次的对目标网络的保护,禁止部分用户的访问或有选择地屏蔽网络服务。
源地址检查、支持对用户带宽控制CAR;
三层交换机对ARP老化的设置;
目前网上流行的“红色代码”和“冲击波”病毒的共同特征是源IP保持不变,目的IP是随机变化的,因此对于L3而言,需要学习每个扫描报文中的目的IP,实际上这些目的IP有些是不存在的, 但是这些报文均会上CPU进行软件地址学习,因此就造成了大量的IP地址占据了IP地址表。当地址表被占满后,有效的IP地址在老化以后可能学习不到,造成上网的瞬断或者慢。可以对L3进行设置,找出源IP出现的频率超过设置的门限数值,若超过则通过log和trap的方式告警,同时通过自动下发acl方式将其与网络隔离,此时染毒主机需要安装系统补丁、杀毒防止下次再被感染。隔离时间也是可以设置的,设置的数值为老化周期的倍数,例如设置隔离周期为3,则意味着3个老化周期内,此源IP被隔离不能上网通讯,网关也不能ping通,三层做到完全隔离。隔离周期最低为3个老化周期,目的是保证在此之前学习到的IP地址可以被老化掉,减小对IP地址表的占据。
安全日志管理;
支持基于内容的多种过滤功能,能对网络上影响比较大的几种病毒的解决方法提供解决方案。
与防火墙、IDS实现联动考虑,检查流量=》流量异常时,自动将流量镜象到IDS,由IDS进行攻击检测,检测结果反馈到原始设备,进行封堵源IP或者封端口。
通过与防火墙非法入侵侦测系统的结合,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,限制非法用户对网络的访问。
由于汇聚层设备的关键地位,因此需要重点考虑,另外,从长远看,用户安全防护也是BAS产品需要考虑的,提供用户安全防护,如提供用户防毒和集中安全管理以及升级将是提高通讯网络安全的关键。
[关键词]信任区;安全;机制
中图分类号:TP393.05 文献标识码:A 文章编号:1009-914X(2014)33-0354-01
1 NGN承载网骨干层安全保证措施
阻止外来的非法Internet流量冲击本地城域网;
阻止本城域网的非法流量危害Internet公网。
核心的IP网建议采用全网状/半网状的互连组网,要求具有路由备份能力,边缘路由器和网关设备通过双归属的方式跟核心骨干网互连;通过实施网络设备本身的一些安全特性,比如ACL,路由认证等手段,也可以提高整个网络的安全性;
城域核心网的安全风险主要是核心设备遭受攻击以及病毒引发的网络流量大增对设备性能产生的冲击,核心交换设备的安全要求主要考虑几个方面:
建议采用无阻塞交换设备;
逐包转发,分布式处理,和WRED等QOS技术,避免流CACHE模型造成的系统崩溃;
节点关键设备冗余备份,为了保障网络安全,降低网络故障,关键设备所有关键部件都采用冗余备份设计,电源模块N+1备份,控制和交换板采用1+1冗余备份。对网络设备采用多极安全密码体系,限制非法设备和用户登录,在出现软硬件故障时,可以迅速切换到备用模块,保障业务的不间断运行。
路由协议具有认证功能,我们可以通过在核心设备上采用例如BGP、ISIS、OSPF等MD5认证方式,实现对路由协议的认证,保证路由协议安全,避免非法网络设备对网络的影响;
支持SNMP V3,安全网管;支持对流量进行监控分析。
物理链路层的备份:采用SDH、MSTP、RPR等技术可以保证物理链路故障倒换时间小于50ms。
对一些关键节点可以采用双归属方法进行备份
采用VRRP、FRR等技术可以对一些关键路径进行备份。
2 NGN承载网汇聚层安全保证措施
汇聚层负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理(用户识别、认证、计费)功能,作为城域网的业务提供层面,是可运营、可管理城域网最重要的组成部分。边缘汇聚层的作用是汇聚分散的接入点和接入层上连接的用户流量,进行业务汇聚和分发,并进行用户管理,实现基于用户的访问控制和带宽许可,提供安全保证和灵活计费。因此,在边缘汇聚层,必须有宽带用户管理的能力的设备存在,汇聚层设备应具有BAS功能。
城域网的主体相对NGN业务网络来说都是非信任区,需要在严格控制下才能接入NGN业务网信任区内。
面对非信任区域面数量巨大的界面,传统的部署防火墙、杀毒软件、IDS、入侵检测等方法技术对城域网汇聚层作用不大,因此,将防御能力延伸到网络边沿,在平衡成本的条件下,在尽量靠近用户的接入层网络设备上配置访问控制策略,在尽量靠近用户的汇聚层对用户进行身份认证,以识别、限制和控制用户各种非法报文进入城域网,减少网络安全风险,是我们城域网汇聚层安全的核心。
汇聚层设备是用户管理的基本设备,是保证IP城域网承载网和业务安全的基本屏障,因此,汇聚层设备安全性是建设安全的IP城域网的关键。病毒对网络和汇聚层设备的安全危害主要表现在两个方面:
(1)设备控制平面的冲击:一般来说,网络攻击中需要网络设备进行解析的报文数量增加,消耗设备CPU处理能力,造成正常用户需要相应的报文丢失,从而造成网络故障。
(2)设备转发平面的冲击:边缘设备如果不对用户进行唯一性和合法性检查,会造成网络攻击流量被设备做为正常流量转发,对设备上行流量和网络中其它设备造成冲击。
(3)网络关键资源的消耗:此种攻击一般来说,主要指针对网络四层的资源消耗,譬如TCP连接数资源的消耗。此种攻击对网络服务器和NAT设备等影响很大。
不管哪种攻击,都可能造成设备的不稳定,影响设备对于用户正常流程的处理,导致用户出现拨号困难、拨号后经常下线、用户上网网速很慢、部分网站无法访问等情况发生。
保证IP城域网安全,对汇聚层设备安全特性主要考虑一下几点:
汇聚BAS设备能够保证接入侧用户相互隔离,保证接入的安全性,能够防止IP地址盗用、仿冒等行为,能够防止用户之间的相互攻击;
IP地址与MAC地址、卡号绑定,要求能够准确定位某个用户,包括某个端口和某个端口下某个MAC地址,并提供相应的手段追查恶意用户。
支持限制每个用户端口的最大接入IP地址数、PPP会话数,TCP/UDP连结数,有效防止用户DOS、DDOS类攻击。
支持访问控制列表(ACL),包括支持在虚拟路由器中创建ACL列表,可根据IP、ICMP、UDP进行过滤,多种过滤规则可提供多种层次的对目标网络的保护,禁止部分用户的访问或有选择地屏蔽网络服务。
源地址检查、支持对用户带宽控制CAR;
三层交换机对ARP老化的设置;
目前网上流行的“红色代码”和“冲击波”病毒的共同特征是源IP保持不变,目的IP是随机变化的,因此对于L3而言,需要学习每个扫描报文中的目的IP,实际上这些目的IP有些是不存在的, 但是这些报文均会上CPU进行软件地址学习,因此就造成了大量的IP地址占据了IP地址表。当地址表被占满后,有效的IP地址在老化以后可能学习不到,造成上网的瞬断或者慢。可以对L3进行设置,找出源IP出现的频率超过设置的门限数值,若超过则通过log和trap的方式告警,同时通过自动下发acl方式将其与网络隔离,此时染毒主机需要安装系统补丁、杀毒防止下次再被感染。隔离时间也是可以设置的,设置的数值为老化周期的倍数,例如设置隔离周期为3,则意味着3个老化周期内,此源IP被隔离不能上网通讯,网关也不能ping通,三层做到完全隔离。隔离周期最低为3个老化周期,目的是保证在此之前学习到的IP地址可以被老化掉,减小对IP地址表的占据。
安全日志管理;
支持基于内容的多种过滤功能,能对网络上影响比较大的几种病毒的解决方法提供解决方案。
与防火墙、IDS实现联动考虑,检查流量=》流量异常时,自动将流量镜象到IDS,由IDS进行攻击检测,检测结果反馈到原始设备,进行封堵源IP或者封端口。
通过与防火墙非法入侵侦测系统的结合,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,限制非法用户对网络的访问。
由于汇聚层设备的关键地位,因此需要重点考虑,另外,从长远看,用户安全防护也是BAS产品需要考虑的,提供用户安全防护,如提供用户防毒和集中安全管理以及升级将是提高通讯网络安全的关键。