曙光教育城域网安全解决方案

宽带城域网的层次安全分析

1. 信任域的安全

信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成，是城域网安全运营的核心所在，因而，必须采取最严密的安全措施。在一般情况下，信任域可能面临的威胁包括网络攻击、网络入侵、病毒（造成拒绝服务攻击）等。为了避免这些威胁，保证信任域的安全，可采取以下手段：

（1）部署防火墙，制定严格的安全访问策略，严格限制对此区域的访问；
（2）认真配置好系统软件和应用软件，跟踪操作系统和应用系统的漏洞及补丁进展情况，严格限定系统和应用所服务对象的范围；
（3）部署网络入侵监测系统（IDS）,对核心服务实施监控，对网络攻击和病毒及时报警；
（4）建立网管系统和日志系统；
（5）对重要的主机系统应采用双机热备份方式，对重要的应用系统和数据做好完善的备份工作，根据具体情况和需要设置灾难恢复系统。

2. 隔离域的安全

隔离域是城域网对外业务服务的平台，包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等，所有业务必须对外开放，因而安全威胁最大，也是最容易受到攻击的区域。为保证安全，可采取以下手段：

（1）部署防火墙，制定安全访问策略，特别是拒绝服务攻击（DDOS）；
（2）及时修补服务器的安全漏洞，关闭不必要的网络服务等；
（3）系统备份和日志系统等等。

3. 非信任域的安全

非信任域是网络业务的传输网络，主要由各种网络交换机组成，它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒，其危害性主要表现在三个方面：

（1）网络攻击或病毒攻击会消耗网络设备的系统资源，特别是CPU的处理能力，使正常用户报文丢失，造成网络故障。
（2）攻击会大量消耗四层资源，如TCP连接数资源，对网络服务器和NAT设备的影响很大。
（3）黑客对设备访问控制权的攻击。

城域网需要重点考虑的是非信任域的安全问题，加强设备自身的安全和日常维护流程，从技术和流程两方面来保证。

下面阐述如何从城域网分层的角度来加强网络设备的安全措施：

（1）城域网核心设备的安全

核心交换层由核心交换节点构成，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与全国骨干网络的互联，提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。威胁城域核心网安全的风险主要表现为核心设备遭受攻击或病毒引发网络流量激增，进而对设备性能产生冲击。

核心交换设备对安全性能的要求包括：

◆采用无阻塞交换设备；
◆采用逐包转发、分布处理、Wred等QoS技术，避免流Cache模型造成系统崩溃；
◆节点关键设备冗余备份，系统出现软硬件故障时，可迅速切换到备用模块；
◆网络设备采用多极安全密码体系，限制非法设备和用户登录；
◆实现路由认证，保证路由协议安全；
◆支持SNMP V3，安全网管；
◆流量监控。

（2）城域网汇聚层设备安全

汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为城域网的业务提供层面，是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。

汇聚层设备的安全特性主要体现在以下几点：

◆用户接入网络的安全控制，包括加强口令、密码、智能卡等访问控制手段；
◆保证接入侧用户相互隔离，保证接入的安全性，防止IP地址被盗用或仿冒，防止用户间的相互攻击；
◆IP地址与MAC地址、卡号绑定，能够准确定位用户，包括端口或MAC地址，并可提供追查恶意用户的手段；
◆支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数，有效防止DOS、DDOS类的攻击；
◆支持访问控制列表（ACL），包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护，以及禁止部分用户访问或有选择地屏蔽网络服务；
◆可实现对用户带宽的控制CAR；
◆安全日志管理。

从长远看，BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段，将成为提高通信网络安全的关键。

（3）城域网接入层设备安全

通过各种接入技术和线路资源实现用户覆盖，提供多业务用户的接入，并配合完成用户流量的控制功能，包括xDSL、LAN和WLAN等接入方式。

设备采用的安全手段包括：

◆用户隔离；
◆控制用户流量带宽。

方案设计

 
1．市教委在对外出口和下行到区县的方向上分贝架设防火墙设备，可有效防止市教委以外的网络对市教委内部局域网的侵扰和损害。
2．区县教委在上行至市教委线路和下行至区县学校线路上分别架设防火墙设备，可有效防止区县教委以外的网络对区县教委内部局域网的侵扰和损害。
3．区县学校在上行至区县教委的网络线路上架设防火墙设备，可有效防止区县学校以外的网络对区县学校内部局域网的侵扰和损害。

方案采用曙光信息产业有限公司网络提供的网络设备进行设计，充分遵循：

◆先进性：采用先进成熟的概念、技术和方法，能支撑各种现在与未来一段时期的主流网络应用，又具有发展潜力，包括基础方案、扩展方案和管理方案。
◆可行性：所设计的方案能够充分考虑网络教育的特点和应用对象的技术、资源、管理等方面的约束，并能很好地结合锐捷网络产品特点进行方案的设计。
◆灵活性：按照模块化、层次化的原则设计网络，网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。
◆实用性：网络易维护、易管理，可实施性好。
◆可靠性：能利用产品自身特色，保证网络系统运行稳定可靠、高效。充分显示先进性等。