寬帶城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化

寬帶城域網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化摘要隨著互聯(lián)網(wǎng)的快速發(fā)展，了解和研究互聯(lián)網(wǎng)的人越來(lái)越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來(lái)自互聯(lián)網(wǎng)的威脅開(kāi)始出現(xiàn)，并且越來(lái)越嚴(yán)重。本文討論了寬帶城域網(wǎng)網(wǎng)絡(luò)的安全與優(yōu)化。關(guān)鍵詞寬帶城域網(wǎng);網(wǎng)絡(luò)安全;優(yōu)化從我國(guó)的互聯(lián)網(wǎng)商業(yè)化之后，互聯(lián)網(wǎng)產(chǎn)業(yè)已經(jīng)取得了很大的發(fā)展。網(wǎng)絡(luò)安全市場(chǎng)在2000年后開(kāi)始成熟，據(jù)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的預(yù)測(cè)，我國(guó)的信息安全市場(chǎng)2001年將高達(dá)50億元人民幣，其中加密、防火墻和防病毒是安全市場(chǎng)的三大主要支柱。目前，中國(guó)信息安全市場(chǎng)進(jìn)入高速成長(zhǎng)期，越來(lái)越多的企業(yè)意識(shí)到網(wǎng)絡(luò)安全的重要性。1網(wǎng)絡(luò)安全的重要性互聯(lián)網(wǎng)在早期的主要任務(wù)是發(fā)展，發(fā)展是第一位的,安全問(wèn)題提不上議程。由于互聯(lián)網(wǎng)特有的魅力，越來(lái)越多的人使用互聯(lián)網(wǎng)，互聯(lián)網(wǎng)應(yīng)用發(fā)展很快，但技術(shù)發(fā)展還不充分,互聯(lián)網(wǎng)本身還很新，了解和研究互聯(lián)網(wǎng)的人還不太多，網(wǎng)絡(luò)安全問(wèn)題也不突出。隨著互聯(lián)網(wǎng)的快速發(fā)展,了解和研究互聯(lián)網(wǎng)的人越來(lái)越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來(lái)自互聯(lián)網(wǎng)的威脅開(kāi)始出現(xiàn)，并且越來(lái)越嚴(yán)重。美國(guó)計(jì)算機(jī)犯罪調(diào)查機(jī)構(gòu)(CSI)和聯(lián)邦調(diào)查局(FBI)的調(diào)查報(bào)告表明:91%的大公司和政府機(jī)構(gòu)在過(guò)去的12個(gè)月內(nèi)發(fā)現(xiàn)計(jì)算機(jī)安全問(wèn)題,64%承認(rèn)存在財(cái)務(wù)損失,當(dāng)然還有礙于情面不愿意承認(rèn)的，實(shí)際的數(shù)字比這個(gè)更高。導(dǎo)致財(cái)務(wù)損失的主要原因是機(jī)密信息的泄露和財(cái)務(wù)欺詐。70%的人承認(rèn)是因?yàn)榛ヂ?lián)網(wǎng)連接導(dǎo)致網(wǎng)絡(luò)攻擊的發(fā)生,91%的單位承認(rèn)內(nèi)部員工濫用公司的互聯(lián)網(wǎng)，高達(dá)94%的單位承認(rèn)遭遇到了來(lái)自互聯(lián)網(wǎng)的計(jì)算機(jī)病毒。2安全性設(shè)計(jì)的目標(biāo)和需求網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中的安全性分析立足于網(wǎng)絡(luò)整體，考慮的是網(wǎng)絡(luò)結(jié)構(gòu)性的、技術(shù)性的安全問(wèn)題以及在危機(jī)情況下網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、可用性和可靠性，確保網(wǎng)絡(luò)能夠在負(fù)載變化、部分受損的情況下比較穩(wěn)定、可靠地運(yùn)行。根據(jù)IS07498-2中提出的建議，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)當(dāng)能夠提供以下安全服務(wù)：實(shí)體認(rèn)證:實(shí)體認(rèn)證安全服務(wù)是防止主動(dòng)進(jìn)攻的重要防御措施，對(duì)于開(kāi)放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認(rèn)證就是識(shí)別實(shí)體的身份和證實(shí)其身份的正確性；訪問(wèn)控制:訪問(wèn)控制服務(wù)是針對(duì)越權(quán)使用網(wǎng)絡(luò)資源的防御措施，實(shí)現(xiàn)機(jī)制可以是機(jī)遇訪問(wèn)控制屬性的訪問(wèn)控制列表，或基于安全標(biāo)簽、用戶(hù)分類(lèi)和資源分檔的多級(jí)訪問(wèn)控制；3）數(shù)據(jù)保密性:數(shù)據(jù)保密性安全服務(wù)是針對(duì)信息泄露的防御措施，細(xì)分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務(wù)流保密；4）數(shù)據(jù)完整性:數(shù)據(jù)完整性安全服務(wù)是針對(duì)非法篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施,保證資源的可獲得性，分為連接完整性、無(wú)連接完整性、選擇數(shù)據(jù)段完整性；5）防抵賴(lài):防抵賴(lài)安全服務(wù)是針對(duì)對(duì)方進(jìn)行抵賴(lài)的防范措施，可用來(lái)證實(shí)發(fā)生過(guò)的操作，分為對(duì)發(fā)送防抵賴(lài)、對(duì)遞交防抵賴(lài)與公證。3網(wǎng)絡(luò)安全設(shè)計(jì)根據(jù)以上的分析,對(duì)城域網(wǎng)的網(wǎng)絡(luò)安全提出以下設(shè)計(jì)方案：1）網(wǎng)絡(luò)互聯(lián)互通分析及安全控制如果兩個(gè)內(nèi)部客戶(hù)服務(wù)器之間二層能夠互通，那么兩者之間的三層互通是直接的,不需要經(jīng)過(guò)路由器。因此，路由器的三層防火墻不能生效，在沒(méi)有任何安全措施的情況下，各種攻擊方法都可以使用。因此，最好讓內(nèi)部各客戶(hù)服務(wù)器在二層完全隔離。采用VLAN在二層隔離了兩個(gè)內(nèi)部客戶(hù)，他們只在三層互通，這時(shí)路由器的三層防火墻也可以生效了。因此，目前有了兩個(gè)安全措施:VLAN和三層防火墻。2）路由認(rèn)證和保護(hù)目前,多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。認(rèn)證過(guò)程有基于明文的，也有基于更安全的MD5校驗(yàn)。MD5認(rèn)證與明文認(rèn)證的過(guò)程類(lèi)似，只不過(guò)密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用MDS算法產(chǎn)生一個(gè)密鑰的“消息摘要”。這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒(méi)有人可以在密鑰傳輸?shù)倪^(guò)程中竊取到密鑰信息。OSPF就支持基于MD5的路由認(rèn)證。BGP區(qū)別與內(nèi)部網(wǎng)關(guān)協(xié)議，它是目前最為流行的外部網(wǎng)關(guān)協(xié)議。為了提高BGP的可靠性,BGP協(xié)議采用TCP來(lái)提供可靠的連接,也因此BGP本身的刷新報(bào)文就不再需要可靠性保證了。為了防止被欺騙的TCP分段進(jìn)入到連接流中,從而對(duì)BGP的連接進(jìn)行攻擊,TCP為BGP提供了“TCPMD5簽名”選項(xiàng)?！癟CPMD5簽名”選項(xiàng)的意思就是說(shuō),在每個(gè)TCP分段中加入一個(gè)MD5的摘要，摘要的信息僅僅能夠被連接的對(duì)端所識(shí)別。從而增強(qiáng)了基于TCP連接的BGP的安全。3）關(guān)閉IP功能服務(wù)因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。重定向開(kāi)關(guān):網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文,以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。定向廣播報(bào)文轉(zhuǎn)發(fā)開(kāi)關(guān):在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。ICMP協(xié)議的功能開(kāi)關(guān):很多常見(jiàn)的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文:主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用,而另外一些則是常用的消息。因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的ICMP消息處理。以減少I(mǎi)CMP對(duì)網(wǎng)絡(luò)安全的影響。4）基于端口的驗(yàn)證基于端口的驗(yàn)證，是由工EEE進(jìn)行標(biāo)準(zhǔn)化的驗(yàn)證方法，標(biāo)準(zhǔn)號(hào)是802.1x。802.1x用于交換式的以太網(wǎng)環(huán)境，要求與客戶(hù)和與其直接相連的設(shè)備都實(shí)現(xiàn)802.1xo當(dāng)應(yīng)用于共享式以太網(wǎng)環(huán)境時(shí),應(yīng)對(duì)用戶(hù)名、密碼等關(guān)鍵信息進(jìn)行加密傳輸。在運(yùn)營(yíng)過(guò)程中,設(shè)備也可以隨時(shí)要求客戶(hù)重新進(jìn)行驗(yàn)證。支持端口驗(yàn)證的設(shè)備應(yīng)滿(mǎn)足如下要求：識(shí)別并支持源、目的地址確定,VLANTAG要求等；支持受控端口與非受控端口，并根據(jù)數(shù)據(jù)幀類(lèi)型送入不同的端口；支持受控端口在端口控制參數(shù)下的行為；支持Radius驗(yàn)證。5）設(shè)備安全防護(hù)口令管理:為防止對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)，系統(tǒng)必須具有完善的密碼管理功臺(tái)匕能匕。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有RADIUS或TACACS認(rèn)證服務(wù)器進(jìn)行口令管理的能力，但在設(shè)備本地進(jìn)行密碼分配和管理仍是設(shè)備本身應(yīng)具有的安全特性。這里只描述本地密碼管理?？诹畹拿芪娘@示:若系統(tǒng)的配置文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須