首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

如何解决城域网汇聚层的安全问题


http://www.gipsky.com/
在电信运营商网络系统中,汇聚层安全问题是最难解决的,因为其接入的类型多而复杂,有IP网也有非IP网,这就给我们制定相应的安全策略带来相应的挑战。

  

  对于城域网的安全,可分为核心层、汇聚层和接入层,其中汇聚层是最关键的一层,汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键,同时,汇聚层安全问题是最难解决的,因为其接入的类型多而复杂,有IP网也有非IP网,不能简单地应用防火墙、IDS等IP网络安全产品,以下就这方面的安全策略作一个简单的阐述。

  

  ● 调整BRAS部署策略

  

  进行BRAS边缘化,访问控制可以在边缘BRAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BRAS访问控制功能转移到防火墙后,这样可以降低BRAS负载,及进行更细粒度的访问控制。

  

  限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能, BRAS推到边缘后,VLAN ID数目受到的限制问题也得到了缓解。

  

  细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。

  

  ● 部署小容量BRAS服务器,PVLAN的划分和端口保护技术,专线用户的VLAN在城域网汇聚层终结

  

  进行接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;充分利用宽带接入服务器BRAS支持802.1q的特性,来实现对不同用户的服务,缩小广播域,提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器,可把原来的超大二层网络分成若干个小型的二层网络,降低管理的难度和复杂度。

  

  在若干小型网络中还可以继续划分PVLAN,PVLAN是在802.1Q VLAN的基础之产生的,是在VLAN内进行进一步的VLAN划分,从而可以实现灵活的用户隔离方案,即把同一VLAN里的不同端口进行逻辑的隔离,从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是对端口进行相应的配置来实现保护端口隔离,各个保护端口只允许与非保护端口进行信息交流,而各个保护端口之间的信息不能互通;一般来讲,PVLAN和端口保护技术结合使用效果会更好。

  

  宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,还会影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到网络核心。

  

  ● 用户认证机制,安全密码体系

  

  目前常见的用户认证机制主要可以分为两大类,一种是基于网关的验证机制,利用BRAS AAA验证服务器完成对用户的身份验证, AAA绑定一般采用的都是静态绑定方式,而动态绑定一般是在接入设备上实现的,绑定技术的有效应用,主要用于解决账号盗用,用户定位等问题。另外一种认证机制是将用户的数据流和控制信息分开,认证服务只需对用户的认证信息(控制信息)进行验证,通过验证后,用户数据包就不再通过认证服务器而直接由交换机处理。

  

  根据我们实际的情况,对于纯的DLSAM汇聚方式那部分网络,可以采用第一种基于网关的验证机制,利用BRAS AAA验证服务器完成对用户的身份验证,所有拨号用户都首先进行拨号与 BRAS进行连接,从BRAS获得动态分配给的IP地址,并从AAA服务器获得用户名验证信息,从而完成通信。

  

  对于具有支持IEEE802.1X认证机制的二层以太交换机部分,我们采用第二种基于IEEE802.1X的认证机制,IEEE802.1X认证机制是把用户的认证和交换机端口激活联系在一起,交换机要求用户提供有关的用户名和口令信息,通过了认证,端口就激活,实现正常访问,否则断开。

  

  通过上述认证机制可以实现基于用户的访问权限控制、计费和服务类型控制,而不是基于每个站点内的所有用户计费。

  

  ● IP地址、MAC地址、用户名及卡号绑定

  

  IP地址、MAC地址、用户名及卡号绑定能够准确定位用户,并可提供追查恶意用户的。

  

  对于纯DLSAM拨号用户可实现MAC、端口和用户名绑定,将不同VLAN内对应用户的MAC地址送到BRAS,再由BRAS将其送到AAA服务器,实现与用户名和MAC的绑定。进而防止个人用户的帐号、密码被盗用,也可确定出用户上网的位置,如果用户名和密码被盗,通过这一方式可以确定偷盗者的上网地点和时间,为问题的解决提供重要线索。

  

  ● 流量整形、拥塞控制、队列调度及CAR等QoS保障

  

  在网络设备上对用户接入的业务流进行匹配,对相应用户业务流按照约定的速率进行带宽限制,通过入口或出口的CAR和流量整形进行调整,保证重要业务流的带宽;进行拥塞设置,当流量超过缓存值时,路由器入口处就将该流量超过阀值的数据包丢弃,同时告诉数据源端的TCP应用减少窗口尺寸。

  

  对于支持VC Shaping的BRAS设备来说还可以针接入用户的发送数据频率来进行控制;对不同的应用进行不同的队列优先级分配,当网络拥挤时,保证重要数据优先通过,从而实现队列调度。
<< 完善互联网使用策略 网络核心设备的三平面分离设计 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号