1 NGN承載網(wǎng)安全方案概略
NGN承載網(wǎng)采用的IP技術(shù),與基于ATM和SDH的承載網(wǎng)相比,其開放性特點(diǎn)非常適合網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展,但I(xiàn)P協(xié)議的開放性和公用性,也使NGN網(wǎng)絡(luò)不可避免地受到黑客或病毒程序的攻擊或干擾,面臨如用戶仿冒、盜打、破壞服務(wù)、搶占資源等安全問題。 NGN業(yè)務(wù)網(wǎng)與數(shù)據(jù)業(yè)務(wù)網(wǎng)二層隔離,形成一個(gè)相對(duì)封閉的業(yè)務(wù)網(wǎng)。應(yīng)對(duì)所有進(jìn)行NGN業(yè)務(wù)網(wǎng)的每一個(gè)入口進(jìn)行嚴(yán)格的安全控制。
1. NGN業(yè)務(wù)網(wǎng)核心網(wǎng)絡(luò)設(shè)備(軟交換、SG、TMG)通過防火墻接入NGN業(yè)務(wù)網(wǎng),防止對(duì)關(guān)鍵設(shè)備的網(wǎng)絡(luò)攻擊。
2. IAD接入端口是NGN業(yè)務(wù)網(wǎng)最大的安全隱患,IAD設(shè)備處于用戶端,存在被利用來惡意攻擊運(yùn)營(yíng)商關(guān)鍵網(wǎng)絡(luò)設(shè)備(如軟交換、信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、應(yīng)用服務(wù)器)的可能性。一方面建議采用樓道IAD,通過物理安全來保證接入端口不被非法訪問,另一方面所有IAD設(shè)備都通過BAS接入NGN業(yè)務(wù)網(wǎng),由BAS進(jìn)行IAD的接入控制和管理。
3. 數(shù)據(jù)業(yè)務(wù)網(wǎng)通過IP-IP網(wǎng)關(guān)(IMG)與NGN業(yè)務(wù)網(wǎng)互通,安全性很高,NGN不易受到數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊。 NGN承載網(wǎng)網(wǎng)絡(luò)安全架構(gòu)如下圖所示。
2 NGN部件設(shè)備自身安全規(guī)格
軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設(shè)備等NGN部件在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備,因此要求軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全規(guī)格,如用戶登錄管理、網(wǎng)管安全等。
3 BAS網(wǎng)絡(luò)安全控制的特性
3.1用戶管理
用戶管理包括物理端口管理和IAD/AG設(shè)備認(rèn)證,IAD/AG通過BAS完成接入認(rèn)證,再與軟交軟交互完成業(yè)務(wù)認(rèn)證。BAS通過物理端口和二層標(biāo)識(shí)(VLAN和PVC)作為用戶的標(biāo)識(shí),使無運(yùn)營(yíng)、無管理的寬帶接入網(wǎng)成為可運(yùn)營(yíng)、可管理的電信級(jí)網(wǎng)絡(luò)。
1、 在策略服務(wù)器(PS)和BOSS/OSS配合下,可實(shí)現(xiàn)局端電話控制業(yè)務(wù),可隨時(shí)根據(jù)用戶的交費(fèi)、開戶和安全(如流量異常)等情況,迅速激活或關(guān)閉用戶,不需要在物理線路上或親自到用戶端進(jìn)行操作。
2、 BAS對(duì)IAD設(shè)備進(jìn)行認(rèn)證,通過靜態(tài)或動(dòng)態(tài)IP+VLAN+MAC綁定,實(shí)現(xiàn)用戶過濾,防止地址盜用;
3、 可以限制VLAN下接入的IAD數(shù)目,防止假冒用戶的惡意攻擊,保護(hù)網(wǎng)上關(guān)鍵資源,防止非法用戶發(fā)起攻擊,耗盡DHCP服務(wù)器地址資源,使合法IAD用戶不能獲得地址,通過log或告警信息進(jìn)行攻擊追查;
4、 通過實(shí)時(shí)計(jì)費(fèi)等功能,可以對(duì)每個(gè)IAD的流量信息進(jìn)行統(tǒng)計(jì),用作業(yè)務(wù)和網(wǎng)絡(luò)分析,檢測(cè)是否有異常流量等情況。
3.2用戶信息隔離
在城域接入層采用一層/二層隔離技術(shù)隔離用戶和業(yè)務(wù),保證用戶之間信息的隔離。IAD通過二層隔離技術(shù)接入BAS,由BAS通過靜態(tài)防火墻(ACL)控制IAD之間的互訪或IAD對(duì)NGN其它設(shè)備的互訪。
3.3動(dòng)態(tài)防火墻
動(dòng)態(tài)防火墻的原理與3.2.4動(dòng)態(tài)QoS策略類似,通過承載網(wǎng)對(duì)NGN業(yè)務(wù)的感知來實(shí)現(xiàn)動(dòng)態(tài)安全策略。IAD初始接入時(shí),BAS為IAD設(shè)置初始ACL,只能訪問軟交換。IAD向軟交換發(fā)起呼叫,策略路由器(PS)通過與較交換的交互IAD呼叫信息,獲知被叫IAD的IP地址及端口號(hào),動(dòng)態(tài)向BAS下發(fā)安全策略,從而實(shí)現(xiàn)主被叫的互通。
中國(guó)通信網(wǎng)(www.c114.net)—由CHINA通信網(wǎng)組稿