城域網(wǎng)安全建議

申請免費試用、咨詢電話：400-8352-114

安全是城域網(wǎng)基礎(chǔ)設(shè)施必備的一部分內(nèi)容，將信息安全要求納入城域網(wǎng)的建設(shè)，也是保障城域網(wǎng)正常運營非常重要的一個環(huán)節(jié)。

威脅城域核心網(wǎng)安全的風(fēng)險，主要表現(xiàn)為核心設(shè)備遭受攻擊或病毒引發(fā)網(wǎng)絡(luò)流量激增，進而對設(shè)備性能產(chǎn)生沖擊。

核心交換層由核心交換節(jié)點構(gòu)成，它將多個邊緣匯聚層連接起來，提供穿透服務(wù)，進行數(shù)據(jù)的高速轉(zhuǎn)發(fā)，同時實現(xiàn)與全國骨干網(wǎng)絡(luò)的互聯(lián)，提供城市高速IP數(shù)據(jù)出口。用戶數(shù)據(jù)流可通過匯聚層上行到核心網(wǎng)絡(luò)，通過核心網(wǎng)獲取所需業(yè)務(wù)。

從技術(shù)上，建議對核心交換設(shè)備應(yīng)采取的安全措施包括：

無阻塞交換，QoS保障

核心交換機應(yīng)采用高背板的交換設(shè)備，要有足夠的帶寬來保證大量業(yè)務(wù)流進行快速數(shù)據(jù)交換，采用隊列、整形等QoS技術(shù)來達到重要數(shù)據(jù)流的無擁塞轉(zhuǎn)發(fā)，要避免流Cache模型造成系統(tǒng)崩潰。

設(shè)備及鏈路的冗余備份

系統(tǒng)出現(xiàn)軟硬件故障時，可迅速切換到備用模塊；采用STP技術(shù)進行鏈路備份，來增強可靠性；核心交換設(shè)備是整個城域網(wǎng)的心臟，所以要具有高可靠性，一般都采用多臺交換設(shè)備互備，并采用雙引擎、雙電源、雙鏈路的備份方式。原則上要求核心節(jié)點間采用網(wǎng)狀或半網(wǎng)狀連接。

多級安全密碼體系，服務(wù)和協(xié)議安全，審計日志系統(tǒng)
避免采用簡單的密碼體系，應(yīng)采用多層的、復(fù)雜算法的密碼體系。不必要的服務(wù)和協(xié)議一定要關(guān)掉。以SNMP協(xié)議為例，在不用SNMP網(wǎng)管協(xié)議時一定要把它關(guān)掉，SNMP給我們管理大型網(wǎng)絡(luò)帶來了方便，同時它也是雙刃劍，給黑客攻擊帶來了方便；如果必須用網(wǎng)管協(xié)議，則必須用SNMP V3 ，它具有MD5加密的功能。

保證網(wǎng)絡(luò)設(shè)備具備審計信息發(fā)送、查詢、統(tǒng)計等功能；進行設(shè)備日志的配置，記錄和觀察網(wǎng)絡(luò)的運行情況，來進行信息跟蹤。

路由協(xié)議穩(wěn)定性和冗余性，路由認證和路由過濾

防止城域網(wǎng)用戶路由的抖動影響廣域骨干網(wǎng)的運行，IP城域網(wǎng)一般以單獨AS自治域的形式與廣域骨干網(wǎng)相連；路由要進行匯總，來減少路由表的數(shù)目，從而減少子區(qū)域路由變化對其他區(qū)域的影響，提高路由轉(zhuǎn)發(fā)的速度和路由的穩(wěn)定性；要保證路由失效時有多條路徑可選擇，防止單路由或單節(jié)點的失效造成全網(wǎng)中斷的情況發(fā)生。

用安全的路由和網(wǎng)絡(luò)協(xié)議，選用具有MD5加密功能的路由協(xié)議進行加密，各個路由區(qū)域之間要進行訪問認證，來保證路由協(xié)議的安全；不同路由協(xié)議之間進行路由策略控制，路由過濾可以控制路由更新只發(fā)往特定網(wǎng)絡(luò)，以及接受從特定路由器接口發(fā)來的路由，防止虛假路由進入核心網(wǎng)絡(luò)。

廣播抑制“Broadcast Limit”

利用城域網(wǎng)骨干設(shè)備的“Broadcast Limit”特性可以限制每秒通過設(shè)備的廣播流量，根據(jù)需要來對廣播包數(shù)量進行手工控制，從而將廣播風(fēng)暴的影響降到最低；交換機可以統(tǒng)計其端口每秒收發(fā)的字節(jié)數(shù)，當超過指定的最大速率，則端口丟棄所有后來超過的那部分。

抗DoS攻擊防范措施

抗DoS攻擊是把攻擊流量遷引到抗DoS攻擊設(shè)備——1000M黑洞，通過黑洞過濾后再把正常訪問流量通過專門的TUNNEL返回服務(wù)器。

來源：CCW