網(wǎng)絡(luò )融合 安全為先
運營(yíng)商應對電信網(wǎng)絡(luò )IP化的安全策略
中國電信股份公司廣州研究院 金華敏 沈軍 2007/01/29
隨著(zhù)軟交換網(wǎng)絡(luò )的逐步投入商用以及第三代移動(dòng)通信網(wǎng)絡(luò )(3G)全IP承載技術(shù)的日益成熟,加之此前以IP網(wǎng)絡(luò )技術(shù)為基礎構建的互聯(lián)網(wǎng)絡(luò )在全球范圍的飛速發(fā)展,電信網(wǎng)絡(luò )的IP化趨勢已經(jīng)不可逆轉。電信網(wǎng)絡(luò )IP化在給電信運營(yíng)商帶來(lái)業(yè)務(wù)多樣化、業(yè)務(wù)控制能力加強、網(wǎng)絡(luò )建設成本降低等諸多好處的同時(shí),IP網(wǎng)絡(luò )所固有的安全問(wèn)題始終是電信網(wǎng)絡(luò )IP化中揮之不去的陰影。網(wǎng)絡(luò )安全,已經(jīng)成為電信網(wǎng)絡(luò )IP化過(guò)程中運營(yíng)商必須解決的重要問(wèn)題之一。
目前不少電信運營(yíng)商在考慮軟交換、3G等業(yè)務(wù)的承載時(shí),往往一開(kāi)始就將眼光投向目前已經(jīng)建成并正在運營(yíng)的公眾互聯(lián)網(wǎng)絡(luò ),這種想法一旦付諸實(shí)施將給電信業(yè)務(wù)的開(kāi)展留下巨大的安全隱患。現有的公眾互聯(lián)網(wǎng)絡(luò )為了迎合互聯(lián)網(wǎng)絡(luò )開(kāi)放性和端到端透明的需要,業(yè)務(wù)流、信令和控制流、網(wǎng)絡(luò )和業(yè)務(wù)管理流在同一網(wǎng)絡(luò )空間承載,導致電信運營(yíng)商的網(wǎng)元設備、業(yè)務(wù)系統和管理系統等對用戶(hù)可見(jiàn),這就給惡意用戶(hù)對這些設備和系統的攻擊創(chuàng )造了條件,一旦攻擊成功將可能影響某一電信業(yè)務(wù)甚至一系列電信業(yè)務(wù)的提供。同時(shí),公眾互聯(lián)網(wǎng)絡(luò )上頻發(fā)的大規模異常攻擊流量以及垃圾郵件、虛假地址流量等垃圾流量,都在大量擠占網(wǎng)絡(luò )帶寬,將直接影響語(yǔ)音等電信業(yè)務(wù)的服務(wù)質(zhì)量。鑒于上述種種安全風(fēng)險,運營(yíng)商需從平面分離控制及帶寬管理等方面著(zhù)手,建設一張安全的電信IP承載網(wǎng)絡(luò ),以滿(mǎn)足電信網(wǎng)絡(luò )IP化的要求。
網(wǎng)絡(luò )平面的邏輯分離
首先,應在目前IP網(wǎng)絡(luò )架構下實(shí)現各電信業(yè)務(wù)的業(yè)務(wù)平面、控制平面、管理平面的邏輯分離,其中互聯(lián)網(wǎng)業(yè)務(wù)平面主要承載互聯(lián)網(wǎng)業(yè)務(wù)流,互聯(lián)網(wǎng)控制平面承載IP路由控制信息,互聯(lián)網(wǎng)管理平面承載互聯(lián)網(wǎng)業(yè)務(wù)的認證、計費、網(wǎng)管信息;軟交換業(yè)務(wù)平面主要承載語(yǔ)音流、媒體流,軟交換控制平面承載信令流,軟交換管理平面承載相應的認證、計費信息等。通過(guò)平面的邏輯分離,一方面使電信運營(yíng)商的關(guān)鍵業(yè)務(wù)系統和管理系統對用戶(hù)不再直接可見(jiàn),有效避免惡意用戶(hù)對這些設備和系統的攻擊;另一方面可限制安全問(wèn)題的影響范圍,即某個(gè)電信業(yè)務(wù)存在的安全問(wèn)題不會(huì )擴散影響至其它電信業(yè)務(wù),例如互聯(lián)網(wǎng)用戶(hù)將無(wú)法直接攻擊軟交換、3G等業(yè)務(wù)。
不同平面的邏輯分離可通過(guò)以MPLSVPN為主,VLAN、專(zhuān)線(xiàn)接入為輔的方式實(shí)現。考慮具體實(shí)施難度,互聯(lián)網(wǎng)業(yè)務(wù)平面和互聯(lián)網(wǎng)控制平面可直接承載在IP網(wǎng)絡(luò )上,互聯(lián)網(wǎng)管理平面、軟交換業(yè)務(wù)平面、軟交換控制平面、軟交換管理平面等分別承載于不同的MPLSVPN中。核心設備,如TG、SG、SS等,可用光纖/SDH/MSTP等方式通過(guò)就近的PE接入相應的VPN。大客戶(hù)終端可通過(guò)獨立專(zhuān)線(xiàn)或原有專(zhuān)線(xiàn)中新增的邏輯通道接入VPN。對于公眾散戶(hù)終端,可為其互聯(lián)網(wǎng)業(yè)務(wù)流量和軟交換業(yè)務(wù)流量等分配不同的VLANID,進(jìn)而將不同的流量引到相應的VPN。
平面內的安全保護
其次,在對各平面邏輯隔離形成不同的安全區域后,應該根據各域的特點(diǎn)輔以相應的安全保護和控制措施。
業(yè)務(wù)平面實(shí)現用戶(hù)終端接入,因此該平面防護的主要目標是加強用戶(hù)認證,防止非授權用戶(hù)接入網(wǎng)絡(luò ),譬如在軟交換業(yè)務(wù)邊緣接入控制設備BAC上設置訪(fǎng)問(wèn)控制列表,對未注冊用戶(hù)發(fā)送的信息進(jìn)行丟棄等。同時(shí)需要加強業(yè)務(wù)和網(wǎng)絡(luò )資源使用的控制能力,避免部分用戶(hù)產(chǎn)生的大量垃圾流量影響正常用戶(hù)的網(wǎng)絡(luò )使用,例如對于用戶(hù)私自架設SMTP郵件服務(wù)器濫發(fā)垃圾郵件的行為,可通過(guò)在用戶(hù)的接入點(diǎn)設置過(guò)濾規則來(lái)進(jìn)行全網(wǎng)邊緣化控制,防范垃圾郵件流量穿透至大網(wǎng)。
控制平面承載了信令流和IP路由信息等,保障控制平面的安全是其它平面能夠正常工作的基礎。控制平面防護主要應加強網(wǎng)元設備之間的信令和路由控制信息的認證及控制,避免受到虛假信令和路由信息的干擾。以互聯(lián)網(wǎng)控制平面防護為例,應選用具有鄰居認證的網(wǎng)絡(luò )路由協(xié)議,并在實(shí)際使用中啟用路由認證機制,以確保系統接受的所有路由更新都來(lái)自正確的鄰居;同時(shí)需要加強路由的保密性,盡量避免對外部自治系統宣告關(guān)鍵系統的地址空間,實(shí)施路由保護。
管理平面的防護目標是保護各網(wǎng)元設備和系統的安全性,減少其受到網(wǎng)絡(luò )攻擊或被入侵的可能性。具體防護措施可包括:加強網(wǎng)元設備和系統的安全配置,關(guān)閉可能會(huì )給系統帶來(lái)安全風(fēng)險的網(wǎng)絡(luò )服務(wù);實(shí)施對設備和系統的訪(fǎng)問(wèn)控制,限制遠程訪(fǎng)問(wèn)的終端地址范圍,并對遠程訪(fǎng)問(wèn)通信進(jìn)行安全加密;構建統一認證鑒權系統,加強設備和應用的身份認證和授權;加強網(wǎng)絡(luò )管理和業(yè)務(wù)終端的終端安全管理。
平面間的訪(fǎng)問(wèn)控制
再次,在互聯(lián)網(wǎng)絡(luò )/軟交換/3G不同業(yè)務(wù)之間或同一業(yè)務(wù)不同平面之間,由于業(yè)務(wù)要求需要進(jìn)行信息交互時(shí),為保證網(wǎng)絡(luò )的安全性,應盡量?jì)H實(shí)現在應用層的有限互聯(lián),避免在網(wǎng)絡(luò )層的直接互聯(lián),并輔以相應的訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制策略的設置應遵循最小化原則,即平面間只開(kāi)放所需的最小互訪(fǎng)權限;要嚴格限制互聯(lián)網(wǎng)業(yè)務(wù)平面等低安全級別平面到其它高安全級別平面的訪(fǎng)問(wèn),防止互聯(lián)網(wǎng)攻擊者借此互訪(fǎng)通道入侵軟交換/3G等關(guān)鍵業(yè)務(wù)系統。以軟交換為例,部分的軟交換業(yè)務(wù)平臺有著(zhù)接收來(lái)自互聯(lián)網(wǎng)的業(yè)務(wù)定制或配置的需求,需要將來(lái)自互聯(lián)網(wǎng)的業(yè)務(wù)信息傳入軟交換業(yè)務(wù)平臺,在這種情況下,為避免平臺直接與互聯(lián)網(wǎng)相連所帶來(lái)的風(fēng)險,可將兩者之間的訪(fǎng)問(wèn)規則設置為只允許該業(yè)務(wù)平臺到互聯(lián)網(wǎng)的應用層連接,由業(yè)務(wù)平臺定期讀取互聯(lián)網(wǎng)業(yè)務(wù)定制請求。
啟用帶寬管理機制
最后,在同一物理網(wǎng)絡(luò )承載互聯(lián)網(wǎng)絡(luò )/軟交換/3G等不同業(yè)務(wù)的情況下,需要實(shí)施不同業(yè)務(wù)之間以及同一業(yè)務(wù)不同流量平面的帶寬管理機制,避免某一業(yè)務(wù)、某一平面發(fā)生的大規模異常流量等安全問(wèn)題給其他業(yè)務(wù)和平面造成影響。考慮流量的QoS等級劃分,管理和控制信息安全是保障業(yè)務(wù)正常運作的關(guān)鍵,因此管理平面和控制平面應賦予比業(yè)務(wù)平面更高的QoS等級;在不同業(yè)務(wù)平面之間,軟交換、3G承載了語(yǔ)音等實(shí)時(shí)性要求較高的業(yè)務(wù),因此軟交換和3G等業(yè)務(wù)應賦予比互聯(lián)業(yè)務(wù)更高的QoS等級。
QoS可采用DiffServ模型實(shí)現對流量的分類(lèi)、標記、隊列調度和擁塞管理。接入層面可通過(guò)專(zhuān)線(xiàn)或CoS區分機制來(lái)實(shí)現分類(lèi)和標記,例如對SS、TG等核心系統以及大客戶(hù)終端等,可使用專(zhuān)線(xiàn)方式完成不同業(yè)務(wù)的分類(lèi)和標記。在隊列調度和擁塞管理方面,針對時(shí)延敏感的語(yǔ)音流、關(guān)鍵的信令流,應考慮通過(guò)優(yōu)先級隊列策略保證其帶寬資源,而對于其他流量可采用加權公平隊列策略(WFQ)。這樣一方面使重要的業(yè)務(wù)流和控制流有良好的帶寬保證,另一方面也可以使其他流量得到公平的帶寬保證。在通過(guò)隊列管理各個(gè)業(yè)務(wù)流量的同時(shí),可輔以帶寬限制手段,對DDOS流量加以壓制,降低其對正常業(yè)務(wù)流的影響。
綜上所述,隨著(zhù)電信網(wǎng)絡(luò )IP化后NGN、3G承載逐步轉向IP網(wǎng)絡(luò ),作為業(yè)務(wù)承載核心的電信IP網(wǎng)絡(luò ),必須對網(wǎng)絡(luò )安全問(wèn)題進(jìn)行周密的考慮,只要在網(wǎng)絡(luò )改造或網(wǎng)絡(luò )設計和實(shí)施上充分考慮以上的各點(diǎn)要求,真正實(shí)現電信網(wǎng)絡(luò )安全將不再遙不可及。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
平舆县|
来宾市|
浦县|
定南县|
鱼台县|
镇康县|
泾阳县|
石嘴山市|
黎川县|
大名县|
东港市|
乾安县|
安泽县|
新竹市|
永福县|
密山市|
鹿邑县|
股票|
法库县|
怀远县|
汝阳县|
安图县|
肇庆市|
伽师县|
海门市|
左贡县|
襄汾县|
塘沽区|
托克托县|
项城市|
东宁县|
体育|
永川市|
宁南县|
定南县|
阿荣旗|
周至县|
凤凰县|
汨罗市|
都江堰市|
温州市|
http://444
http://444
http://444
http://444
http://444
http://444