NGN承載網(wǎng)網(wǎng)絡安全
2003/02/10
NGN應考慮各個層次的網(wǎng)絡安全����。如機房和樓道IAD的安全防盜�,AG/IAD的接入認證和控制,AG/IAD的業(yè)務認證��。本文僅涉及NGN承載網(wǎng)相關安全特性.
1 NGN承載網(wǎng)安全方案概略
NGN承載網(wǎng)采用的IP技術�����,與基于ATM和SDH的承載網(wǎng)相比�,其開放性特點非常適合網(wǎng)絡業(yè)務的發(fā)展,但IP協(xié)議的開放性和公用性����,也使NGN網(wǎng)絡不可避免地受到黑客或病毒程序的攻擊或干擾,面臨如用戶仿冒�、盜打、破壞服務�����、搶占資源等安全問題�。 NGN業(yè)務網(wǎng)與數(shù)據(jù)業(yè)務網(wǎng)二層隔離���,形成一個相對封閉的業(yè)務網(wǎng)��。應對所有進行NGN業(yè)務網(wǎng)的每一個入口進行嚴格的安全控制�����。
1. NGN業(yè)務網(wǎng)核心網(wǎng)絡設備(軟交換�、SG、TMG)通過防火墻接入NGN業(yè)務網(wǎng)�,防止對關鍵設備的網(wǎng)絡攻擊。
2. IAD接入端口是NGN業(yè)務網(wǎng)最大的安全隱患��,IAD設備處于用戶端���,存在被利用來惡意攻擊運營商關鍵網(wǎng)絡設備(如軟交換����、信令網(wǎng)關�、中繼網(wǎng)關、應用服務器)的可能性���。一方面建議采用樓道IAD���,通過物理安全來保證接入端口不被非法訪問,另一方面所有IAD設備都通過BAS接入NGN業(yè)務網(wǎng)��,由BAS進行IAD的接入控制和管理��。
3. 數(shù)據(jù)業(yè)務網(wǎng)通過IP-IP網(wǎng)關(IMG)與NGN業(yè)務網(wǎng)互通,安全性很高�,NGN不易受到數(shù)據(jù)業(yè)務網(wǎng)的攻擊。 NGN承載網(wǎng)網(wǎng)絡安全架構如下圖所示��。
2 NGN部件設備自身安全規(guī)格
軟交換����、網(wǎng)關、服務器��、IAD設備等NGN部件在IP網(wǎng)中的地位類似于網(wǎng)絡主機設備�����,因此要求軟交換����、網(wǎng)關、服務器����、IAD設備應具備數(shù)據(jù)網(wǎng)中主機設備所具有的安全規(guī)格,如用戶登錄管理�����、網(wǎng)管安全等����。
3 BAS網(wǎng)絡安全控制的特性
3.1用戶管理
用戶管理包括物理端口管理和IAD/AG設備認證,IAD/AG通過BAS完成接入認證����,再與軟交軟交互完成業(yè)務認證。BAS通過物理端口和二層標識(VLAN和PVC)作為用戶的標識�����,使無運營����、無管理的寬帶接入網(wǎng)成為可運營、可管理的電信級網(wǎng)絡�。
1、 在策略服務器(PS)和BOSS/OSS配合下�����,可實現(xiàn)局端電話控制業(yè)務���,可隨時根據(jù)用戶的交費��、開戶和安全(如流量異常)等情況���,迅速激活或關閉用戶�����,不需要在物理線路上或親自到用戶端進行操作���。
2、 BAS對IAD設備進行認證��,通過靜態(tài)或動態(tài)IP+VLAN+MAC綁定����,實現(xiàn)用戶過濾,防止地址盜用�;
3、 可以限制VLAN下接入的IAD數(shù)目���,防止假冒用戶的惡意攻擊��,保護網(wǎng)上關鍵資源�,防止非法用戶發(fā)起攻擊,耗盡DHCP服務器地址資源�,使合法IAD用戶不能獲得地址,通過log或告警信息進行攻擊追查��;
4�、 通過實時計費等功能��,可以對每個IAD的流量信息進行統(tǒng)計�,用作業(yè)務和網(wǎng)絡分析,檢測是否有異常流量等情況����。
3.2用戶信息隔離
在城域接入層采用一層/二層隔離技術隔離用戶和業(yè)務,保證用戶之間信息的隔離�����。IAD通過二層隔離技術接入BAS���,由BAS通過靜態(tài)防火墻(ACL)控制IAD之間的互訪或IAD對NGN其它設備的互訪�。
3.3動態(tài)防火墻
動態(tài)防火墻的原理與3.2.4動態(tài)QoS策略類似��,通過承載網(wǎng)對NGN業(yè)務的感知來實現(xiàn)動態(tài)安全策略����。IAD初始接入時�����,BAS為IAD設置初始ACL����,只能訪問軟交換��。IAD向軟交換發(fā)起呼叫����,策略路由器(PS)通過與較交換的交互IAD呼叫信息,獲知被叫IAD的IP地址及端口號���,動態(tài)向BAS下發(fā)安全策略��,從而實現(xiàn)主被叫的互通���。
中國通信網(wǎng)(www.c114.net)—由CHINA通信網(wǎng)組稿
相關鏈接: