城域網(wǎng)匯聚層安全控制

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 在電信運(yùn)營(yíng)商網(wǎng)絡(luò)系統(tǒng)中，匯聚層安全問(wèn)題是最難解決的，因?yàn)槠浣尤氲念愋投喽鴱?fù)雜，有IP網(wǎng)也有非IP網(wǎng)，這就給我們制定相應(yīng)的安全策略帶來(lái)相應(yīng)的挑戰(zhàn)。   對(duì)于城域網(wǎng)的安全，可分為核心層、匯聚層和接入層，其中匯聚層是最關(guān)鍵的一層，匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障，更是保障城域網(wǎng)安全性能的關(guān)鍵，同時(shí)，匯聚層安全問(wèn)題是最難解決的，因?yàn)槠浣尤氲念愋投喽鴱?fù)雜，有IP網(wǎng)也有非IP網(wǎng)，不能簡(jiǎn)單地應(yīng)用防火墻、IDS等IP網(wǎng)絡(luò)安全產(chǎn)品，以下就這方面的安全策略作一個(gè)簡(jiǎn)單的闡述。   ● 調(diào)整BRAS部署策略   進(jìn)行BRAS邊緣化，訪問(wèn)控制可以在邊緣BRAS上進(jìn)行，如果仍然保持集中方式，可以考慮在BRAS后部署防火墻，可以將原有BRAS訪問(wèn)控制功能轉(zhuǎn)移到防火墻后，這樣可以降低BRAS負(fù)載，及進(jìn)行更細(xì)粒度的訪問(wèn)控制。   限制每個(gè)VLAN下的用戶數(shù)量，減少PPP建立過(guò)程中廣播包的廣播范圍，提高網(wǎng)絡(luò)性能， BRAS推到邊緣后，VLAN ID數(shù)目受到的限制問(wèn)題也得到了緩解。   細(xì)粒度的三層訪問(wèn)控制在BRAS或BRAS設(shè)備后端三層設(shè)備上進(jìn)行。   ● 部署小容量BRAS服務(wù)器，PVLAN的劃分和端口保護(hù)技術(shù)，專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)   進(jìn)行接入側(cè)用戶相互隔離，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；充分利用寬帶接入服務(wù)器BRAS支持802.1q的特性，來(lái)實(shí)現(xiàn)對(duì)不同用戶的服務(wù)，縮小廣播域，提高城域網(wǎng)的整體服務(wù)性能。在用戶側(cè)部署中小容量的BRAS服務(wù)器，可把原來(lái)的超大二層網(wǎng)絡(luò)分成若干個(gè)小型的二層網(wǎng)絡(luò)，降低管理的難度和復(fù)雜度。   在若干小型網(wǎng)絡(luò)中還可以繼續(xù)劃分PVLAN，PVLAN是在802.1Q  VLAN的基礎(chǔ)之產(chǎn)生的，是在VLAN內(nèi)進(jìn)行進(jìn)一步的VLAN劃分，從而可以實(shí)現(xiàn)靈活的用戶隔離方案，即把同一VLAN里的不同端口進(jìn)行邏輯的隔離，從而更好的進(jìn)行同一個(gè)VLAN里不同端口出入流的控制。端口保護(hù)是對(duì)端口進(jìn)行相應(yīng)的配置來(lái)實(shí)現(xiàn)保護(hù)端口隔離，各個(gè)保護(hù)端口只允許與非保護(hù)端口進(jìn)行信息交流，而各個(gè)保護(hù)端口之間的信息不能互通；一般來(lái)講，PVLAN和端口保護(hù)技術(shù)結(jié)合使用效果會(huì)更好。   寬帶專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)，這樣可以防止用戶的廣播包對(duì)骨干交換機(jī)的沖擊。基于LAN的專線用戶，通過(guò)專線直接連到網(wǎng)絡(luò)核心，當(dāng)用戶發(fā)起廣播時(shí)，就會(huì)使核心網(wǎng)絡(luò)路由表產(chǎn)生波動(dòng)，還會(huì)影響核心網(wǎng)絡(luò)設(shè)備的性能，所以建議在匯聚層終結(jié)，再把信息上傳到網(wǎng)絡(luò)核心。   ● 用戶認(rèn)證機(jī)制，安全密碼體系   目前常見(jiàn)的用戶認(rèn)證機(jī)制主要可以分為兩大類，一種是基于網(wǎng)關(guān)的驗(yàn)證機(jī)制，利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證， AAA綁定一般采用的都是靜態(tài)綁定方式，而動(dòng)態(tài)綁定一般是在接入設(shè)備上實(shí)現(xiàn)的，綁定技術(shù)的有效應(yīng)用，主要用于解決賬號(hào)盜用，用戶定位等問(wèn)題。另外一種認(rèn)證機(jī)制是將用戶的數(shù)據(jù)流和控制信息分開，認(rèn)證服務(wù)只需對(duì)用戶的認(rèn)證信息（控制信息）進(jìn)行驗(yàn)證，通過(guò)驗(yàn)證后，用戶數(shù)據(jù)包就不再通過(guò)認(rèn)證服務(wù)器而直接由交換機(jī)處理。   根據(jù)我們實(shí)際的情況，對(duì)于純的DLSAM匯聚方式那部分網(wǎng)絡(luò)，可以采用第一種基于網(wǎng)關(guān)的驗(yàn)證機(jī)制，利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證，所有撥號(hào)用戶都首先進(jìn)行撥號(hào)與 BRAS進(jìn)行連接，從BRAS獲得動(dòng)態(tài)分配給的IP地址，并從AAA服務(wù)器獲得用戶名驗(yàn)證信息，從而完成通信。   對(duì)于具有支持IEEE802.1X認(rèn)證機(jī)制的二層以太交換機(jī)部分，我們采用第二種基于IEEE802.1X的認(rèn)證機(jī)制，IEEE802.1X認(rèn)證機(jī)制是把用戶的認(rèn)證和交換機(jī)端口激活聯(lián)系在一起，交換機(jī)要求用戶提供有關(guān)的用戶名和口令信息，通過(guò)了認(rèn)證，端口就激活，實(shí)現(xiàn)正常訪問(wèn)，否則斷開。   通過(guò)上述認(rèn)證機(jī)制可以實(shí)現(xiàn)基于用戶的訪問(wèn)權(quán)限控制、計(jì)費(fèi)和服務(wù)類型控制，而不是基于每個(gè)站點(diǎn)內(nèi)的所有用戶計(jì)費(fèi)。   ● IP地址、MAC地址、用戶名及卡號(hào)綁定   IP地址、MAC地址、用戶名及卡號(hào)綁定能夠準(zhǔn)確定位用戶，并可提供追查惡意用戶的。   對(duì)于純DLSAM撥號(hào)用戶可實(shí)現(xiàn)MAC、端口和用戶名綁定，將不同VLAN內(nèi)對(duì)應(yīng)用戶的MAC地址送到BRAS，再由BRAS將其送到AAA服務(wù)器，實(shí)現(xiàn)與用戶名和MAC的綁定。進(jìn)而防止個(gè)人用戶的帳號(hào)、密碼被盜用，也可確定出用戶上網(wǎng)的位置，如果用戶名和密碼被盜，通過(guò)這一方式可以確定偷盜者的上網(wǎng)地點(diǎn)和時(shí)間，為問(wèn)題的解決提供重要線索。   ● 流量整形、擁塞控制、隊(duì)列調(diào)度及CAR等QoS保障   在網(wǎng)絡(luò)設(shè)備上對(duì)用戶接入的業(yè)務(wù)流進(jìn)行匹配，對(duì)相應(yīng)用戶業(yè)務(wù)流按照約定的速率進(jìn)行帶寬限制，通過(guò)入口或出口的CAR和流量整形進(jìn)行調(diào)整，保證重要業(yè)務(wù)流的帶寬；進(jìn)行擁塞設(shè)置，當(dāng)流量超過(guò)緩存值時(shí)，路由器入口處就將該流量超過(guò)閥值的數(shù)據(jù)包丟棄，同時(shí)告訴數(shù)據(jù)源端的TCP應(yīng)用減少窗口尺寸。   對(duì)于支持VC Shaping的BRAS設(shè)備來(lái)說(shuō)還可以針接入用戶的發(fā)送數(shù)據(jù)頻率來(lái)進(jìn)行控制；對(duì)不同的應(yīng)用進(jìn)行不同的隊(duì)列優(yōu)先級(jí)分配，當(dāng)網(wǎng)絡(luò)擁擠時(shí)，保證重要數(shù)據(jù)優(yōu)先通過(guò)，從而實(shí)現(xiàn)隊(duì)列調(diào)度。(CCW)