寬帶城域網(wǎng)網(wǎng)絡安全與優(yōu)化

寬帶城域網(wǎng)網(wǎng)絡安全與優(yōu)化摘要隨著互聯(lián)網(wǎng)的快速發(fā)展，了解和研究互聯(lián)網(wǎng)的人越來越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來自互聯(lián)網(wǎng)的威脅開始出現(xiàn)，并且越來越嚴重。本文討論了寬帶城域網(wǎng)網(wǎng)絡的安全與優(yōu)化。關(guān)鍵詞寬帶城域網(wǎng);網(wǎng)絡安全;優(yōu)化從我國的互聯(lián)網(wǎng)商業(yè)化之后，互聯(lián)網(wǎng)產(chǎn)業(yè)已經(jīng)取得了很大的發(fā)展。網(wǎng)絡安全市場在2000年后開始成熟，據(jù)中國國家信息安全測評認證中心的預測，我國的信息安全市場2001年將高達50億元人民幣，其中加密、防火墻和防病毒是安全市場的三大主要支柱。目前，中國信息安全市場進入高速成長期，越來越多的企業(yè)意識到網(wǎng)絡安全的重要性。1網(wǎng)絡安全的重要性互聯(lián)網(wǎng)在早期的主要任務是發(fā)展，發(fā)展是第一位的,安全問題提不上議程。由于互聯(lián)網(wǎng)特有的魅力，越來越多的人使用互聯(lián)網(wǎng)，互聯(lián)網(wǎng)應用發(fā)展很快，但技術(shù)發(fā)展還不充分,互聯(lián)網(wǎng)本身還很新，了解和研究互聯(lián)網(wǎng)的人還不太多，網(wǎng)絡安全問題也不突出。隨著互聯(lián)網(wǎng)的快速發(fā)展,了解和研究互聯(lián)網(wǎng)的人越來越多，研究互聯(lián)網(wǎng)的人的意圖各不相同，來自互聯(lián)網(wǎng)的威脅開始出現(xiàn)，并且越來越嚴重。美國計算機犯罪調(diào)查機構(gòu)(CSI)和聯(lián)邦調(diào)查局(FBI)的調(diào)查報告表明:91%的大公司和政府機構(gòu)在過去的12個月內(nèi)發(fā)現(xiàn)計算機安全問題,64%承認存在財務損失,當然還有礙于情面不愿意承認的，實際的數(shù)字比這個更高。導致財務損失的主要原因是機密信息的泄露和財務欺詐。70%的人承認是因為互聯(lián)網(wǎng)連接導致網(wǎng)絡攻擊的發(fā)生,91%的單位承認內(nèi)部員工濫用公司的互聯(lián)網(wǎng)，高達94%的單位承認遭遇到了來自互聯(lián)網(wǎng)的計算機病毒。2安全性設(shè)計的目標和需求網(wǎng)絡規(guī)劃設(shè)計中的安全性分析立足于網(wǎng)絡整體，考慮的是網(wǎng)絡結(jié)構(gòu)性的、技術(shù)性的安全問題以及在危機情況下網(wǎng)絡運行的穩(wěn)定性、可用性和可靠性，確保網(wǎng)絡能夠在負載變化、部分受損的情況下比較穩(wěn)定、可靠地運行。根據(jù)IS07498-2中提出的建議，一個安全的計算機網(wǎng)絡應當能夠提供以下安全服務：實體認證:實體認證安全服務是防止主動進攻的重要防御措施，對于開放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認證就是識別實體的身份和證實其身份的正確性；訪問控制:訪問控制服務是針對越權(quán)使用網(wǎng)絡資源的防御措施，實現(xiàn)機制可以是機遇訪問控制屬性的訪問控制列表，或基于安全標簽、用戶分類和資源分檔的多級訪問控制；3）數(shù)據(jù)保密性:數(shù)據(jù)保密性安全服務是針對信息泄露的防御措施，細分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務流保密；4）數(shù)據(jù)完整性:數(shù)據(jù)完整性安全服務是針對非法篡改信息、文件和業(yè)務流而設(shè)置的防范措施,保證資源的可獲得性，分為連接完整性、無連接完整性、選擇數(shù)據(jù)段完整性；5）防抵賴:防抵賴安全服務是針對對方進行抵賴的防范措施，可用來證實發(fā)生過的操作，分為對發(fā)送防抵賴、對遞交防抵賴與公證。3網(wǎng)絡安全設(shè)計根據(jù)以上的分析,對城域網(wǎng)的網(wǎng)絡安全提出以下設(shè)計方案：1）網(wǎng)絡互聯(lián)互通分析及安全控制如果兩個內(nèi)部客戶服務器之間二層能夠互通，那么兩者之間的三層互通是直接的,不需要經(jīng)過路由器。因此，路由器的三層防火墻不能生效，在沒有任何安全措施的情況下，各種攻擊方法都可以使用。因此，最好讓內(nèi)部各客戶服務器在二層完全隔離。采用VLAN在二層隔離了兩個內(nèi)部客戶，他們只在三層互通，這時路由器的三層防火墻也可以生效了。因此，目前有了兩個安全措施:VLAN和三層防火墻。2）路由認證和保護目前,多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。MD5認證與明文認證的過程類似，只不過密鑰不在網(wǎng)絡上以明文方式直接傳送。路由器將使用MDS算法產(chǎn)生一個密鑰的“消息摘要”。這個消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。OSPF就支持基于MD5的路由認證。BGP區(qū)別與內(nèi)部網(wǎng)關(guān)協(xié)議，它是目前最為流行的外部網(wǎng)關(guān)協(xié)議。為了提高BGP的可靠性,BGP協(xié)議采用TCP來提供可靠的連接,也因此BGP本身的刷新報文就不再需要可靠性保證了。為了防止被欺騙的TCP分段進入到連接流中,從而對BGP的連接進行攻擊,TCP為BGP提供了“TCPMD5簽名”選項?！癟CPMD5簽名”選項的意思就是說,在每個TCP分段中加入一個MD5的摘要，摘要的信息僅僅能夠被連接的對端所識別。從而增強了基于TCP連接的BGP的安全。3）關(guān)閉IP功能服務因為IP源路由選項忽略了報文傳輸路徑中的各個設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡結(jié)構(gòu)。因此，設(shè)備應能關(guān)閉IP源路由選項功能。重定向開關(guān):網(wǎng)絡設(shè)備向同一個子網(wǎng)的主機發(fā)送ICMP重定向報文，請求主機改變路由。一般情況下，設(shè)備僅向主機而不向其它設(shè)備發(fā)送ICMP重定向報文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個網(wǎng)絡的主機發(fā)送虛假的重定向報文,以期改變主機的路由表，干擾主機正常的IP報文轉(zhuǎn)發(fā)。因此，設(shè)備應能關(guān)閉ICMP重定向報文的轉(zhuǎn)發(fā)。定向廣播報文轉(zhuǎn)發(fā)開關(guān):在接口上進行配置，禁止目的地址為子網(wǎng)廣播地址的報文從該接口轉(zhuǎn)發(fā)，以防止攻擊。因此，設(shè)備應能關(guān)閉定向廣播報文的轉(zhuǎn)發(fā)。缺省應為關(guān)閉狀態(tài)。ICMP協(xié)議的功能開關(guān):很多常見的網(wǎng)絡攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡設(shè)備中間節(jié)點（路由器）向其它設(shè)備節(jié)點和主機發(fā)送差錯或控制報文:主機也可用ICMP協(xié)議與網(wǎng)絡設(shè)備或另一臺主機通信。對ICMP的防護比較復雜，因為ICMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用,而另外一些則是常用的消息。因此ICMP協(xié)議處理中應根據(jù)這三種差別對不同的ICMP消息處理。以減少ICMP對網(wǎng)絡安全的影響。4）基于端口的驗證基于端口的驗證，是由工EEE進行標準化的驗證方法，標準號是802.1x。802.1x用于交換式的以太網(wǎng)環(huán)境，要求與客戶和與其直接相連的設(shè)備都實現(xiàn)802.1xo當應用于共享式以太網(wǎng)環(huán)境時,應對用戶名、密碼等關(guān)鍵信息進行加密傳輸。在運營過程中,設(shè)備也可以隨時要求客戶重新進行驗證。支持端口驗證的設(shè)備應滿足如下要求：識別并支持源、目的地址確定,VLANTAG要求等；支持受控端口與非受控端口，并根據(jù)數(shù)據(jù)幀類型送入不同的端口；支持受控端口在端口控制參數(shù)下的行為；支持Radius驗證。5）設(shè)備安全防護口令管理:為防止對系統(tǒng)未經(jīng)授權(quán)的訪問，系統(tǒng)必須具有完善的密碼管理功臺匕能匕。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有RADIUS或TACACS認證服務器進行口令管理的能力，但在設(shè)備本地進行密碼分配和管理仍是設(shè)備本身應具有的安全特性。這里只描述本地密碼管理?？诹畹拿芪娘@示:若系統(tǒng)的配置文件以文本方式進行保存，則在配置文件中，所有的口令都必須