返回
ip城域网网络安全分析及流量过滤技术

ip城域网网络安全分析及流量过滤技术

ID:10560656

大小:35.50 KB

页数:7页

时间:2018-07-07

ip城域网网络安全分析及流量过滤技术_第1页
ip城域网网络安全分析及流量过滤技术_第2页
ip城域网网络安全分析及流量过滤技术_第3页
ip城域网网络安全分析及流量过滤技术_第4页
ip城域网网络安全分析及流量过滤技术_第5页
资源描述:

《ip城域网网络安全分析及流量过滤技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IP城域网网络安全分析及流量过滤技术摘要:随着ip技术的不断发展应用,对于通信运营商而言,ip城域网网络安全越来越重要。本文对ip城域网网络安全进行分析,并对防护网络安全的流量过滤技术进行阐述。关键词:ip城域网流量过滤中图分类号:tn文献标识码:a文章编号:1007-9416(2012)12-0253-021、ip城域网的网络安全分析1.1ip城域网安全概况ip城域网的安全风险主要在于网络设备或宽带用户遭受攻击、网络病毒恶意传播引发的网络流量突增对网络及设备性能的冲击,以及相关业务的数据库服务器受到病毒感染、恶意攻击导致的业务无法正常运行。由于互联网与

2、生俱有的开放性、交互性和分散性特征,使ip城域网不可避免的面临此类风险。因此运营商网络安全设计考虑的重点和企业网络不同,网络的管理难度大,安全管理制度实施困难,安全建设要更多地采用技术来确保网络和设备安全,并以用户管理作为辅助手段。1.2ip城域网网络架构从物理架构来看,ip城域网的传统网络架构一般分为三个层次:核心层、汇聚层、接入层,随着网络的不断发展此种结构也逐步向着扁平化的趋势演进,形成了只有二个层次的网络架构:核心层、接入层。网络的各个层次根据其所在层次的不同承担了不同的功能,每个层次都有不同的特点,面临不同的安全问题。核心层主要面临的安全问题是

3、路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。从业务方面来看,ip城域网所承载的业务已由传统的宽带业务发展为多种综合业务。目前ip城域网承载的业务主要有:lan专线接入业务;pppoe方式接入的上网业务;基于dhcpoption82方式的新兴业务,例如iptv;基于ip的增值业务,例如全球眼;新兴的wlan业务;固网及移动网的语音业务;移动网3g业务等。这些业务对

4、安全方面的要求各不相同,lan专线主要的安全问题是用户接入控制;pppoe宽带主要是用户账号盗用;iptv的主要问题是dhcp用户认证方式的安全性;全球眼主要的问题是安全隔离;wlan主要是无线接入用户隔离和用户账号盗用;固网及移动网语音业务主要问题是网络质量及安全隔离;移动网3g业务主要是用户接入控制。1.3ip城域网网络安全分析1.3.1ip城域网核心层安全核心层主要担负着网络核心承载功能,其由核心路由节点构成,将多个汇聚层节点连接在一起,进行高速的数据转发,实现和全国骨干网络节点互联。由于核心层节点的重要性其必须充分保证网络的连通性,提供充足的网络

5、链路冗余,高效的转发处理能力,稳定的运行能力。威胁城域网核心层安全的风险主要表现为核心设备遭受攻击或病毒攻击引发网络流量激增,进而对设备性能产生冲击。核心层设备需要采用一些安全策略,保障网络的安全、可靠,其对安全性能的需求包括:采用无阻塞交换的路由器或交换机设备;采用逐包转发、分布处理、wred等qos技术,避免流cache模型造成系统崩溃;节点关键设备冗余备份,系统出现软硬件故障时,可迅速转换到备用模块;在重要的核心节点,采用一些双ios系统的网络设备,在设备主用软件系统产生故障时,可以自动倒换到备用的软件系统上,保证设备转发不中断;实现路由认证,保证

6、路由协议安全;网络设备采用多极安全密码体系,通过访问控制限制非法设备和用户登录;支持snmpv3,通过acl限制snmp访问的源地址;采用acl策略,过滤流向引擎板卡的垃圾流量,保证设备核心的安全;采用如netflow等流量监控手段,监测异常流量。1.3.2ip城域网汇聚层安全汇聚层功能是负责汇聚各个接入层节点进行数据转发,提供对接入层的流量控制和用户管理功能。汇聚层设备是用户管理的基本设备,也是确保城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。从长远看,bras设备也必须考虑用户的安全防护措施。怎么提供病毒防治、集中安全管理和升级等手

7、段,将成为提高通信网络安全的关键。汇聚层设备对安全性能的需求包括:用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;确保接入侧用户相互隔离,防止ip地址被盗用或仿冒,防止用户间的相互攻击;ip地址和mac地址、卡号绑定,能够准确定位用户,并可提供追查恶意用户的手段;支持限制用户端口最大接入ip地址数、ppp会话数、tcp/udp连接数,有效防止dos、ddos类的攻击;支持访问控制列表(acl),包括在虚拟路由器中创建acl列表、采用多种过滤规则提供多层次对目标网络的保护,及禁止部分用户访问或有选择地屏蔽网络服务;可实现对用户带宽的控制c

8、ar;1.3.3ip城域网接入层安全接入层功能主要是通过一些二三层交换机、dsl

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。