IP城域網(wǎng)匯聚層安全I(xiàn)P城域網(wǎng)匯聚層安全匯聚層負(fù)責(zé)匯集分散的接入點(diǎn)進(jìn)行數(shù)據(jù)交換，提供流量控制和用戶管理功能，作為城域網(wǎng)的業(yè)務(wù)提供層面，是可運(yùn)營、可管理城域網(wǎng)最重要的組成部分。匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障，更是保障城域網(wǎng)安全性能的關(guān)鍵。匯聚層設(shè)備的安全特性主要體現(xiàn)在以下幾點(diǎn)：用戶接入網(wǎng)絡(luò)的安全控制，包括加強(qiáng)口令、密碼、智能卡等訪問控制手段；支持限制用戶端口最大接入IP地址數(shù)、PPP會(huì)話數(shù)、TCP/UDP連接數(shù)，有效防止DOS、DDOS類的攻擊；支持訪問控制列表(ACL)，包括在虛擬路由器中創(chuàng)建ACL列表、采用多種過濾規(guī)則提供多層次對(duì)目標(biāo)網(wǎng)絡(luò)的保護(hù)，以及禁止部分用戶訪問或有選擇地屏蔽網(wǎng)絡(luò)服務(wù)；可實(shí)現(xiàn)對(duì)用戶帶寬的控制；安全日志管理。從長遠(yuǎn)看，BRAS產(chǎn)品也必須考慮用戶的安全防護(hù)措施。如何提供病毒防治、集中安全管理和升級(jí)等手段，將成為提高通信網(wǎng)絡(luò)安全的關(guān)鍵。IP城域網(wǎng)接入層安全通過各種接入技術(shù)和線路資源實(shí)現(xiàn)用戶覆蓋，提供多業(yè)務(wù)用戶的接入并配合完成用戶流量的控制功能，包括xDSL、LAN和WLAN等接入方式。設(shè)備采用的安全手段包括：保證接入側(cè)用戶相互隔離，保證接入的安全性，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；IP地址與MAC地址、卡號(hào)綁定，能夠準(zhǔn)確定位用戶，包括端口或MAC地址，并可提供追查惡意用戶的手段；在LAN接入方面，還要采用一些端口檢測(cè)的措施，防止用戶二層環(huán)路的發(fā)生；采用PortSecurity措施，防止用戶的CAM攻擊和ARP攻擊等。城域網(wǎng)運(yùn)營支撐平臺(tái)的安全信任域的安全信任域由網(wǎng)絡(luò)業(yè)務(wù)支撐系統(tǒng)、網(wǎng)管系統(tǒng)、用戶認(rèn)證計(jì)費(fèi)系統(tǒng)等組成，是城域網(wǎng)安全運(yùn)營的核心所在，因而，必須采取最嚴(yán)密的安全措施。在一般情況下，信任域可能面臨的威脅包括網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、病毒(造成拒絕服務(wù)攻擊)等。為了避免這些威脅，保證信任域的安全，可采取以下手段：部署防火墻，制定嚴(yán)格的安全訪問策略，嚴(yán)格限制對(duì)此區(qū)域的訪問；認(rèn)真配置好系統(tǒng)軟件和應(yīng)用軟件，跟蹤操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞及補(bǔ)丁進(jìn)展情況，嚴(yán)格限定系統(tǒng)和應(yīng)用所服務(wù)對(duì)象的范圍；部署網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)(IDS),對(duì)核心服務(wù)實(shí)施監(jiān)控，對(duì)網(wǎng)絡(luò)攻擊和病毒及時(shí)報(bào)警；建立網(wǎng)管系統(tǒng)和日志系統(tǒng)；對(duì)重要的主機(jī)系統(tǒng)應(yīng)采用雙機(jī)熱備份方式，對(duì)重要的應(yīng)用系統(tǒng)和數(shù)據(jù)做好完善的備份工作，根據(jù)具體情況和需要設(shè)置災(zāi)難恢復(fù)系統(tǒng)。隔離域的安全隔離域是城域網(wǎng)對(duì)外業(yè)務(wù)服務(wù)的平臺(tái)，包括WWW服務(wù)、DNS服務(wù)、FTP服務(wù)、Mail服務(wù)、用戶查詢系統(tǒng)等，所有業(yè)務(wù)必須對(duì)外開放，因而安全威脅最大，也是最容易受到攻擊的區(qū)域。為保證安全，可采取以下手段：部署防火墻，制定安全訪問策略，特別是拒絕服務(wù)攻擊(DDOS)；及時(shí)修補(bǔ)服務(wù)器的安全漏洞，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)等；系統(tǒng)備份和日志系統(tǒng)等等。非信任域的安全非信任域是網(wǎng)絡(luò)業(yè)務(wù)的傳輸網(wǎng)絡(luò)，主要由各種網(wǎng)絡(luò)交換機(jī)、服務(wù)器等組成，它直接提供用戶的接入和業(yè)務(wù)。非信任域網(wǎng)絡(luò)安全的主要威脅來自各種攻擊和病毒，其危害性主要表現(xiàn)在三個(gè)方面：-網(wǎng)絡(luò)攻擊或病毒攻擊會(huì)消耗網(wǎng)絡(luò)設(shè)備的系統(tǒng)資源，特別是CPU的處理能力，使正常用戶報(bào)文丟失，造成網(wǎng)絡(luò)故障。-攻擊大量消耗四層資源，如TCP連接數(shù)資源，對(duì)網(wǎng)絡(luò)服務(wù)器和NAT設(shè)備的影響很大。-黑客對(duì)設(shè)備訪問控制權(quán)的攻擊。非信任域內(nèi)的安全措施主要是采用一些動(dòng)態(tài)病毒監(jiān)測(cè)、鏡像系統(tǒng)備份等手段，防止病毒對(duì)系統(tǒng)造成危害；必須采用一些木馬動(dòng)態(tài)發(fā)現(xiàn)、查殺的工具軟件來防止系統(tǒng)漏洞；同時(shí)也可以采用一些IDS系統(tǒng)來防止各種DDOS的攻擊，保證系統(tǒng)的可用性。未來城域網(wǎng)安全防護(hù)趨勢(shì)一方面，隨著WLAN技術(shù)在城域網(wǎng)接入環(huán)節(jié)的興起，關(guān)于無線接入的用戶隔離技術(shù)以及針對(duì)WLAN接入的網(wǎng)絡(luò)安全防護(hù)，將成為城域網(wǎng)中的重要發(fā)展方向。由于WLAN技術(shù)自身在安全方面的缺陷，導(dǎo)致用戶不能有效隔離和用戶接入網(wǎng)絡(luò)易受攻擊。現(xiàn)在已經(jīng)有多種技術(shù)可以彌補(bǔ)WLAN技術(shù)在安全方面的缺陷，如：可以采用AP隔離、AP與用戶IP/MAC地址綁定、WEP加密技術(shù)、WPA接入保護(hù)、Portal+Radius認(rèn)證等技術(shù)手段來提升WLAN網(wǎng)絡(luò)的安全特性。另一方面，隨著僵尸網(wǎng)絡(luò)的產(chǎn)生和網(wǎng)絡(luò)攻擊行為的復(fù)雜化，未來網(wǎng)絡(luò)中的黑客攻擊將成為越來越突出的安全問題。對(duì)比之下，傳統(tǒng)的IP城域網(wǎng)對(duì)于這些黑客的攻擊行為的識(shí)別、抵御和防范存在明顯的不足，例如：對(duì)于目前網(wǎng)絡(luò)中廣泛存在的DOS/DDOS攻擊，雖然我們有多種手段進(jìn)行識(shí)別，但是這些手段、措施都是有一定技術(shù)限制的，不能很好地識(shí)別通過僵尸網(wǎng)絡(luò)發(fā)動(dòng)的大規(guī)模的DDOS攻擊。同時(shí)，未來的黑客攻擊都是通過攻擊平臺(tái)軟件來進(jìn)行的，這些平臺(tái)軟件集成了多種攻擊手段，僅采用單一的技術(shù)手段不能夠防御所有類型的攻擊。因此，為了抵御日趨復(fù)雜的攻擊行為，必須對(duì)城域網(wǎng)的防攻擊能力有一個(gè)完整的規(guī)劃，首先我們應(yīng)該建立一個(gè)蜜網(wǎng)系統(tǒng)，利用該系統(tǒng)可以從網(wǎng)絡(luò)中獲取實(shí)際的病毒數(shù)據(jù)和攻擊行為樣本，通過