網(wǎng)絡融合 安全為先
運營商應對電信網(wǎng)絡IP化的安全策略
中國電信股份公司廣州研究院 金華敏 沈軍 2007/01/29
隨著軟交換網(wǎng)絡的逐步投入商用以及第三代移動通信網(wǎng)絡(3G)全IP承載技術的日益成熟,加之此前以IP網(wǎng)絡技術為基礎構建的互聯(lián)網(wǎng)絡在全球范圍的飛速發(fā)展,電信網(wǎng)絡的IP化趨勢已經(jīng)不可逆轉。電信網(wǎng)絡IP化在給電信運營商帶來業(yè)務多樣化、業(yè)務控制能力加強、網(wǎng)絡建設成本降低等諸多好處的同時,IP網(wǎng)絡所固有的安全問題始終是電信網(wǎng)絡IP化中揮之不去的陰影。網(wǎng)絡安全,已經(jīng)成為電信網(wǎng)絡IP化過程中運營商必須解決的重要問題之一。
目前不少電信運營商在考慮軟交換、3G等業(yè)務的承載時,往往一開始就將眼光投向目前已經(jīng)建成并正在運營的公眾互聯(lián)網(wǎng)絡,這種想法一旦付諸實施將給電信業(yè)務的開展留下巨大的安全隱患。現(xiàn)有的公眾互聯(lián)網(wǎng)絡為了迎合互聯(lián)網(wǎng)絡開放性和端到端透明的需要,業(yè)務流、信令和控制流、網(wǎng)絡和業(yè)務管理流在同一網(wǎng)絡空間承載,導致電信運營商的網(wǎng)元設備、業(yè)務系統(tǒng)和管理系統(tǒng)等對用戶可見,這就給惡意用戶對這些設備和系統(tǒng)的攻擊創(chuàng)造了條件,一旦攻擊成功將可能影響某一電信業(yè)務甚至一系列電信業(yè)務的提供。同時,公眾互聯(lián)網(wǎng)絡上頻發(fā)的大規(guī)模異常攻擊流量以及垃圾郵件、虛假地址流量等垃圾流量,都在大量擠占網(wǎng)絡帶寬,將直接影響語音等電信業(yè)務的服務質(zhì)量。鑒于上述種種安全風險,運營商需從平面分離控制及帶寬管理等方面著手,建設一張安全的電信IP承載網(wǎng)絡,以滿足電信網(wǎng)絡IP化的要求。
網(wǎng)絡平面的邏輯分離
首先,應在目前IP網(wǎng)絡架構下實現(xiàn)各電信業(yè)務的業(yè)務平面、控制平面、管理平面的邏輯分離,其中互聯(lián)網(wǎng)業(yè)務平面主要承載互聯(lián)網(wǎng)業(yè)務流,互聯(lián)網(wǎng)控制平面承載IP路由控制信息,互聯(lián)網(wǎng)管理平面承載互聯(lián)網(wǎng)業(yè)務的認證、計費、網(wǎng)管信息;軟交換業(yè)務平面主要承載語音流、媒體流,軟交換控制平面承載信令流,軟交換管理平面承載相應的認證、計費信息等。通過平面的邏輯分離,一方面使電信運營商的關鍵業(yè)務系統(tǒng)和管理系統(tǒng)對用戶不再直接可見,有效避免惡意用戶對這些設備和系統(tǒng)的攻擊;另一方面可限制安全問題的影響范圍,即某個電信業(yè)務存在的安全問題不會擴散影響至其它電信業(yè)務,例如互聯(lián)網(wǎng)用戶將無法直接攻擊軟交換、3G等業(yè)務。
不同平面的邏輯分離可通過以MPLSVPN為主,VLAN、專線接入為輔的方式實現(xiàn)。考慮具體實施難度,互聯(lián)網(wǎng)業(yè)務平面和互聯(lián)網(wǎng)控制平面可直接承載在IP網(wǎng)絡上,互聯(lián)網(wǎng)管理平面、軟交換業(yè)務平面、軟交換控制平面、軟交換管理平面等分別承載于不同的MPLSVPN中。核心設備,如TG、SG、SS等,可用光纖/SDH/MSTP等方式通過就近的PE接入相應的VPN。大客戶終端可通過獨立專線或原有專線中新增的邏輯通道接入VPN。對于公眾散戶終端,可為其互聯(lián)網(wǎng)業(yè)務流量和軟交換業(yè)務流量等分配不同的VLANID,進而將不同的流量引到相應的VPN。
平面內(nèi)的安全保護
其次,在對各平面邏輯隔離形成不同的安全區(qū)域后,應該根據(jù)各域的特點輔以相應的安全保護和控制措施。
業(yè)務平面實現(xiàn)用戶終端接入,因此該平面防護的主要目標是加強用戶認證,防止非授權用戶接入網(wǎng)絡,譬如在軟交換業(yè)務邊緣接入控制設備BAC上設置訪問控制列表,對未注冊用戶發(fā)送的信息進行丟棄等。同時需要加強業(yè)務和網(wǎng)絡資源使用的控制能力,避免部分用戶產(chǎn)生的大量垃圾流量影響正常用戶的網(wǎng)絡使用,例如對于用戶私自架設SMTP郵件服務器濫發(fā)垃圾郵件的行為,可通過在用戶的接入點設置過濾規(guī)則來進行全網(wǎng)邊緣化控制,防范垃圾郵件流量穿透至大網(wǎng)。
控制平面承載了信令流和IP路由信息等,保障控制平面的安全是其它平面能夠正常工作的基礎。控制平面防護主要應加強網(wǎng)元設備之間的信令和路由控制信息的認證及控制,避免受到虛假信令和路由信息的干擾。以互聯(lián)網(wǎng)控制平面防護為例,應選用具有鄰居認證的網(wǎng)絡路由協(xié)議,并在實際使用中啟用路由認證機制,以確保系統(tǒng)接受的所有路由更新都來自正確的鄰居;同時需要加強路由的保密性,盡量避免對外部自治系統(tǒng)宣告關鍵系統(tǒng)的地址空間,實施路由保護。
管理平面的防護目標是保護各網(wǎng)元設備和系統(tǒng)的安全性,減少其受到網(wǎng)絡攻擊或被入侵的可能性。具體防護措施可包括:加強網(wǎng)元設備和系統(tǒng)的安全配置,關閉可能會給系統(tǒng)帶來安全風險的網(wǎng)絡服務;實施對設備和系統(tǒng)的訪問控制,限制遠程訪問的終端地址范圍,并對遠程訪問通信進行安全加密;構建統(tǒng)一認證鑒權系統(tǒng),加強設備和應用的身份認證和授權;加強網(wǎng)絡管理和業(yè)務終端的終端安全管理。
平面間的訪問控制
再次,在互聯(lián)網(wǎng)絡/軟交換/3G不同業(yè)務之間或同一業(yè)務不同平面之間,由于業(yè)務要求需要進行信息交互時,為保證網(wǎng)絡的安全性,應盡量僅實現(xiàn)在應用層的有限互聯(lián),避免在網(wǎng)絡層的直接互聯(lián),并輔以相應的訪問控制策略。訪問控制策略的設置應遵循最小化原則,即平面間只開放所需的最小互訪權限;要嚴格限制互聯(lián)網(wǎng)業(yè)務平面等低安全級別平面到其它高安全級別平面的訪問,防止互聯(lián)網(wǎng)攻擊者借此互訪通道入侵軟交換/3G等關鍵業(yè)務系統(tǒng)。以軟交換為例,部分的軟交換業(yè)務平臺有著接收來自互聯(lián)網(wǎng)的業(yè)務定制或配置的需求,需要將來自互聯(lián)網(wǎng)的業(yè)務信息傳入軟交換業(yè)務平臺,在這種情況下,為避免平臺直接與互聯(lián)網(wǎng)相連所帶來的風險,可將兩者之間的訪問規(guī)則設置為只允許該業(yè)務平臺到互聯(lián)網(wǎng)的應用層連接,由業(yè)務平臺定期讀取互聯(lián)網(wǎng)業(yè)務定制請求。
啟用帶寬管理機制
最后,在同一物理網(wǎng)絡承載互聯(lián)網(wǎng)絡/軟交換/3G等不同業(yè)務的情況下,需要實施不同業(yè)務之間以及同一業(yè)務不同流量平面的帶寬管理機制,避免某一業(yè)務、某一平面發(fā)生的大規(guī)模異常流量等安全問題給其他業(yè)務和平面造成影響。考慮流量的QoS等級劃分,管理和控制信息安全是保障業(yè)務正常運作的關鍵,因此管理平面和控制平面應賦予比業(yè)務平面更高的QoS等級;在不同業(yè)務平面之間,軟交換、3G承載了語音等實時性要求較高的業(yè)務,因此軟交換和3G等業(yè)務應賦予比互聯(lián)業(yè)務更高的QoS等級。
QoS可采用DiffServ模型實現(xiàn)對流量的分類、標記、隊列調(diào)度和擁塞管理。接入層面可通過專線或CoS區(qū)分機制來實現(xiàn)分類和標記,例如對SS、TG等核心系統(tǒng)以及大客戶終端等,可使用專線方式完成不同業(yè)務的分類和標記。在隊列調(diào)度和擁塞管理方面,針對時延敏感的語音流、關鍵的信令流,應考慮通過優(yōu)先級隊列策略保證其帶寬資源,而對于其他流量可采用加權公平隊列策略(WFQ)。這樣一方面使重要的業(yè)務流和控制流有良好的帶寬保證,另一方面也可以使其他流量得到公平的帶寬保證。在通過隊列管理各個業(yè)務流量的同時,可輔以帶寬限制手段,對DDOS流量加以壓制,降低其對正常業(yè)務流的影響。
綜上所述,隨著電信網(wǎng)絡IP化后NGN、3G承載逐步轉向IP網(wǎng)絡,作為業(yè)務承載核心的電信IP網(wǎng)絡,必須對網(wǎng)絡安全問題進行周密的考慮,只要在網(wǎng)絡改造或網(wǎng)絡設計和實施上充分考慮以上的各點要求,真正實現(xiàn)電信網(wǎng)絡安全將不再遙不可及。
中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關鏈接:
昌宁县|
黔西|
合江县|
黎平县|
克山县|
穆棱市|
四子王旗|
房山区|
措勤县|
平陆县|
屏边|
白朗县|
商城县|
桐柏县|
徐州市|
北票市|
庄河市|
白水县|
揭东县|
西华县|
陈巴尔虎旗|
临沧市|
洞口县|
抚顺市|
昭平县|
固阳县|
理塘县|
建瓯市|
化德县|
老河口市|
铜川市|
定襄县|
方正县|
萨迦县|
彭水|
阿瓦提县|
阿鲁科尔沁旗|
商南县|
石泉县|
云霄县|
交城县|