NGN承載網(wǎng)網(wǎng)絡(luò)安全

1 NGN承載網(wǎng)安全方案概略
　　NGN承載網(wǎng)采用的IP技術(shù)，與基于ATM和SDH的承載網(wǎng)相比，其開放性特點(diǎn)非常適合網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，但I(xiàn)P協(xié)議的開放性和公用性，也使NGN網(wǎng)絡(luò)不可避免地受到黑客或病毒程序的攻擊或干擾，面臨如用戶仿冒、盜打、破壞服務(wù)、搶占資源等安全問題。 NGN業(yè)務(wù)網(wǎng)與數(shù)據(jù)業(yè)務(wù)網(wǎng)二層隔離，形成一個(gè)相對(duì)封閉的業(yè)務(wù)網(wǎng)。應(yīng)對(duì)所有進(jìn)行NGN業(yè)務(wù)網(wǎng)的每一個(gè)入口進(jìn)行嚴(yán)格的安全控制。
　　1. NGN業(yè)務(wù)網(wǎng)核心網(wǎng)絡(luò)設(shè)備（軟交換、SG、TMG）通過防火墻接入NGN業(yè)務(wù)網(wǎng)，防止對(duì)關(guān)鍵設(shè)備的網(wǎng)絡(luò)攻擊。
　　2. IAD接入端口是NGN業(yè)務(wù)網(wǎng)最大的安全隱患，IAD設(shè)備處于用戶端，存在被利用來惡意攻擊運(yùn)營(yíng)商關(guān)鍵網(wǎng)絡(luò)設(shè)備（如軟交換、信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、應(yīng)用服務(wù)器）的可能性。一方面建議采用樓道IAD，通過物理安全來保證接入端口不被非法訪問，另一方面所有IAD設(shè)備都通過BAS接入NGN業(yè)務(wù)網(wǎng)，由BAS進(jìn)行IAD的接入控制和管理。
　　3. 數(shù)據(jù)業(yè)務(wù)網(wǎng)通過IP-IP網(wǎng)關(guān)（IMG）與NGN業(yè)務(wù)網(wǎng)互通，安全性很高，NGN不易受到數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊。 NGN承載網(wǎng)網(wǎng)絡(luò)安全架構(gòu)如下圖所示。

2 NGN部件設(shè)備自身安全規(guī)格
　　軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設(shè)備等NGN部件在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備，因此要求軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全規(guī)格，如用戶登錄管理、網(wǎng)管安全等。
3 BAS網(wǎng)絡(luò)安全控制的特性
3.1用戶管理
　　用戶管理包括物理端口管理和IAD/AG設(shè)備認(rèn)證，IAD/AG通過BAS完成接入認(rèn)證，再與軟交軟交互完成業(yè)務(wù)認(rèn)證。BAS通過物理端口和二層標(biāo)識(shí)（VLAN和PVC）作為用戶的標(biāo)識(shí)，使無運(yùn)營(yíng)、無管理的寬帶接入網(wǎng)成為可運(yùn)營(yíng)、可管理的電信級(jí)網(wǎng)絡(luò)。
　　1、 在策略服務(wù)器（PS）和BOSS/OSS配合下，可實(shí)現(xiàn)局端電話控制業(yè)務(wù)，可隨時(shí)根據(jù)用戶的交費(fèi)、開戶和安全（如流量異常）等情況，迅速激活或關(guān)閉用戶，不需要在物理線路上或親自到用戶端進(jìn)行操作。
　　2、 BAS對(duì)IAD設(shè)備進(jìn)行認(rèn)證，通過靜態(tài)或動(dòng)態(tài)IP+VLAN+MAC綁定，實(shí)現(xiàn)用戶過濾，防止地址盜用；
　　3、 可以限制VLAN下接入的IAD數(shù)目，防止假冒用戶的惡意攻擊，保護(hù)網(wǎng)上關(guān)鍵資源，防止非法用戶發(fā)起攻擊，耗盡DHCP服務(wù)器地址資源，使合法IAD用戶不能獲得地址，通過log或告警信息進(jìn)行攻擊追查；
　　4、 通過實(shí)時(shí)計(jì)費(fèi)等功能，可以對(duì)每個(gè)IAD的流量信息進(jìn)行統(tǒng)計(jì)，用作業(yè)務(wù)和網(wǎng)絡(luò)分析，檢測(cè)是否有異常流量等情況。
3.2用戶信息隔離
　　在城域接入層采用一層/二層隔離技術(shù)隔離用戶和業(yè)務(wù)，保證用戶之間信息的隔離。IAD通過二層隔離技術(shù)接入BAS，由BAS通過靜態(tài)防火墻（ACL）控制IAD之間的互訪或IAD對(duì)NGN其它設(shè)備的互訪。
3.3動(dòng)態(tài)防火墻
　　動(dòng)態(tài)防火墻的原理與3.2.4動(dòng)態(tài)QoS策略類似，通過承載網(wǎng)對(duì)NGN業(yè)務(wù)的感知來實(shí)現(xiàn)動(dòng)態(tài)安全策略。IAD初始接入時(shí)，BAS為IAD設(shè)置初始ACL，只能訪問軟交換。IAD向軟交換發(fā)起呼叫，策略路由器（PS）通過與較交換的交互IAD呼叫信息，獲知被叫IAD的IP地址及端口號(hào)，動(dòng)態(tài)向BAS下發(fā)安全策略，從而實(shí)現(xiàn)主被叫的互通。

中國(guó)通信網(wǎng)(www.c114.net)—由CHINA通信網(wǎng)組稿