返回
IP城域网汇聚层安全.doc

IP城域网汇聚层安全.doc

ID:55952815

大小:15.50 KB

页数:5页

时间:2020-06-18

IP城域网汇聚层安全.doc_第1页
IP城域网汇聚层安全.doc_第2页
IP城域网汇聚层安全.doc_第3页
IP城域网汇聚层安全.doc_第4页
IP城域网汇聚层安全.doc_第5页
资源描述:

《IP城域网汇聚层安全.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IP城域网汇聚层安全  IP城域网汇聚层安全  汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理功能,作为城域网的业务提供层面,是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。  汇聚层设备的安全特性主要体现在以下几点:  ●用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;  ●支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击

2、;  ●支持访问控制列表(ACL),包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护,以及禁止部分用户访问或有选择地屏蔽网络服务;  ●可实现对用户带宽的控制;  ●安全日志管理。从长远看,BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段,将成为提高通信网络安全的关键。  IP城域网接入层安全  通过各种接入技术和线路资源实现用户覆盖,提供多业务用户的接入并配合完成用户流量的控制功能,包括xDSL、LAN和WLAN等接入方式。  设备采用的安全

3、手段包括:  ——保证接入侧用户相互隔离,保证接入的安全性,防止IP地址被盗用或仿冒,防止用户间的相互攻击;  ——IP地址与MAC地址、卡号绑定,能够准确定位用户,包括端口或MAC地址,并可提供追查恶意用户的手段;  ——在LAN接入方面,还要采用一些端口检测的措施,防止用户二层环路的发生;  ——采用PortSecurity措施,防止用户的CAM攻击和ARP攻击等。  城域网运营支撑平台的安全  信任域的安全  信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成,是城域网安全运营的核心所在,因而

4、,必须采取最严密的安全措施。在一般情况下,信任域可能面临的威胁包括网络攻击、网络入侵、病毒(造成拒绝服务攻击)等。为了避免这些威胁,保证信任域的安全,可采取以下手段:  ☆部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;  ☆认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;  ☆部署网络入侵监测系统(IDS),对核心服务实施监控,对网络攻击和病毒及时报警;☆建立网管系统和日志系统;  ☆对重要的主机系统应采用双机热备份方式,对重要的应

5、用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。  隔离域的安全  隔离域是城域网对外业务服务的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁最大,也是最容易受到攻击的区域。为保证安全,可采取以下手段:  ▲部署防火墙,制定安全访问策略,特别是拒绝服务攻击(DDOS);  ▲及时修补服务器的安全漏洞,关闭不必要的网络服务等;  ▲系统备份和日志系统等等。  非信任域的安全  非信任域是网络业务的传输网络,主要由各种网络交换机

6、、服务器等组成,它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒,其危害性主要表现在三个方面:  -网络攻击或病毒攻击会消耗网络设备的系统资源,特别是CPU的处理能力,使正常用户报文丢失,造成网络故障。  -攻击大量消耗四层资源,如TCP连接数资源,对网络服务器和NAT设备的影响很大。  -黑客对设备访问控制权的攻击。  非信任域内的安全措施主要是采用一些动态病毒监测、镜像系统备份等手段,防止病毒对系统造成危害;必须采用一些木马动态发现、查杀的工具软件来防止系统漏洞;同时也可以采用一

7、些IDS系统来防止各种DDOS的攻击,保证系统的可用性。  未来城域网安全防护趋势  一方面,随着WLAN技术在城域网接入环节的兴起,关于无线接入的用户隔离技术以及针对WLAN接入的网络安全防护,将成为城域网中的重要发展方向。由于WLAN技术自身在安全方面的缺陷,导致用户不能有效隔离和用户接入网络易受攻击。现在已经有多种技术可以弥补WLAN技术在安全方面的缺陷,如:可以采用AP隔离、AP与用户IP/MAC地址绑定、WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安

8、全特性。  另一方面,随着僵尸网络的产生和网络攻击行为的复杂化,未来网络中的黑客攻击将成为越来越突出的安全问题。对比之下,传统的IP城域网对于这些黑客的攻击行为的识别、抵御和防范存在明显的不足,例如:对于目前网络中广泛存在的DOS/DDOS攻击,虽然我们有多种手段进行识别,但是这些手段、措施都是有一定技术限制的,不能很好地识别通过僵尸网络发动的大规模的DDOS攻击。同时,未来的黑客攻击都是通过攻击平台软件来进行的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。