當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 南昌OA系統(tǒng) > 南昌OA信息化
城域網(wǎng)匯聚層安全控制
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件 在電信運(yùn)營商網(wǎng)絡(luò)系統(tǒng)中,匯聚層安全問題是最難解決的,因?yàn)槠浣尤氲念愋投喽鴱?fù)雜,有IP網(wǎng)也有非IP網(wǎng),這就給我們制定相應(yīng)的安全策略帶來相應(yīng)的挑戰(zhàn)。 對(duì)于城域網(wǎng)的安全,可分為核心層、匯聚層和接入層,其中匯聚層是最關(guān)鍵的一層,匯聚層設(shè)備是用戶管理的基本設(shè)備,也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障,更是保障城域網(wǎng)安全性能的關(guān)鍵,同時(shí),匯聚層安全問題是最難解決的,因?yàn)槠浣尤氲念愋投喽鴱?fù)雜,有IP網(wǎng)也有非IP網(wǎng),不能簡單地應(yīng)用防火墻、IDS等IP網(wǎng)絡(luò)安全產(chǎn)品,以下就這方面的安全策略作一個(gè)簡單的闡述。 ● 調(diào)整BRAS部署策略 進(jìn)行BRAS邊緣化,訪問控制可以在邊緣BRAS上進(jìn)行,如果仍然保持集中方式,可以考慮在BRAS后部署防火墻,可以將原有BRAS訪問控制功能轉(zhuǎn)移到防火墻后,這樣可以降低BRAS負(fù)載,及進(jìn)行更細(xì)粒度的訪問控制。 限制每個(gè)VLAN下的用戶數(shù)量,減少PPP建立過程中廣播包的廣播范圍,提高網(wǎng)絡(luò)性能, BRAS推到邊緣后,VLAN ID數(shù)目受到的限制問題也得到了緩解。 細(xì)粒度的三層訪問控制在BRAS或BRAS設(shè)備后端三層設(shè)備上進(jìn)行。 ● 部署小容量BRAS服務(wù)器,PVLAN的劃分和端口保護(hù)技術(shù),專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié) 進(jìn)行接入側(cè)用戶相互隔離,防止IP地址被盜用或仿冒,防止用戶間的相互攻擊;充分利用寬帶接入服務(wù)器BRAS支持802.1q的特性,來實(shí)現(xiàn)對(duì)不同用戶的服務(wù),縮小廣播域,提高城域網(wǎng)的整體服務(wù)性能。在用戶側(cè)部署中小容量的BRAS服務(wù)器,可把原來的超大二層網(wǎng)絡(luò)分成若干個(gè)小型的二層網(wǎng)絡(luò),降低管理的難度和復(fù)雜度。 在若干小型網(wǎng)絡(luò)中還可以繼續(xù)劃分PVLAN,PVLAN是在802.1Q VLAN的基礎(chǔ)之產(chǎn)生的,是在VLAN內(nèi)進(jìn)行進(jìn)一步的VLAN劃分,從而可以實(shí)現(xiàn)靈活的用戶隔離方案,即把同一VLAN里的不同端口進(jìn)行邏輯的隔離,從而更好的進(jìn)行同一個(gè)VLAN里不同端口出入流的控制。端口保護(hù)是對(duì)端口進(jìn)行相應(yīng)的配置來實(shí)現(xiàn)保護(hù)端口隔離,各個(gè)保護(hù)端口只允許與非保護(hù)端口進(jìn)行信息交流,而各個(gè)保護(hù)端口之間的信息不能互通;一般來講,PVLAN和端口保護(hù)技術(shù)結(jié)合使用效果會(huì)更好。 寬帶專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié),這樣可以防止用戶的廣播包對(duì)骨干交換機(jī)的沖擊?;贚AN的專線用戶,通過專線直接連到網(wǎng)絡(luò)核心,當(dāng)用戶發(fā)起廣播時(shí),就會(huì)使核心網(wǎng)絡(luò)路由表產(chǎn)生波動(dòng),還會(huì)影響核心網(wǎng)絡(luò)設(shè)備的性能,所以建議在匯聚層終結(jié),再把信息上傳到網(wǎng)絡(luò)核心。 ● 用戶認(rèn)證機(jī)制,安全密碼體系 目前常見的用戶認(rèn)證機(jī)制主要可以分為兩大類,一種是基于網(wǎng)關(guān)的驗(yàn)證機(jī)制,利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證, AAA綁定一般采用的都是靜態(tài)綁定方式,而動(dòng)態(tài)綁定一般是在接入設(shè)備上實(shí)現(xiàn)的,綁定技術(shù)的有效應(yīng)用,主要用于解決賬號(hào)盜用,用戶定位等問題。另外一種認(rèn)證機(jī)制是將用戶的數(shù)據(jù)流和控制信息分開,認(rèn)證服務(wù)只需對(duì)用戶的認(rèn)證信息(控制信息)進(jìn)行驗(yàn)證,通過驗(yàn)證后,用戶數(shù)據(jù)包就不再通過認(rèn)證服務(wù)器而直接由交換機(jī)處理。 根據(jù)我們實(shí)際的情況,對(duì)于純的DLSAM匯聚方式那部分網(wǎng)絡(luò),可以采用第一種基于網(wǎng)關(guān)的驗(yàn)證機(jī)制,利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證,所有撥號(hào)用戶都首先進(jìn)行撥號(hào)與 BRAS進(jìn)行連接,從BRAS獲得動(dòng)態(tài)分配給的IP地址,并從AAA服務(wù)器獲得用戶名驗(yàn)證信息,從而完成通信。 對(duì)于具有支持IEEE802.1X認(rèn)證機(jī)制的二層以太交換機(jī)部分,我們采用第二種基于IEEE802.1X的認(rèn)證機(jī)制,IEEE802.1X認(rèn)證機(jī)制是把用戶的認(rèn)證和交換機(jī)端口激活聯(lián)系在一起,交換機(jī)要求用戶提供有關(guān)的用戶名和口令信息,通過了認(rèn)證,端口就激活,實(shí)現(xiàn)正常訪問,否則斷開。 通過上述認(rèn)證機(jī)制可以實(shí)現(xiàn)基于用戶的訪問權(quán)限控制、計(jì)費(fèi)和服務(wù)類型控制,而不是基于每個(gè)站點(diǎn)內(nèi)的所有用戶計(jì)費(fèi)。 ● IP地址、MAC地址、用戶名及卡號(hào)綁定 IP地址、MAC地址、用戶名及卡號(hào)綁定能夠準(zhǔn)確定位用戶,并可提供追查惡意用戶的。 對(duì)于純DLSAM撥號(hào)用戶可實(shí)現(xiàn)MAC、端口和用戶名綁定,將不同VLAN內(nèi)對(duì)應(yīng)用戶的MAC地址送到BRAS,再由BRAS將其送到AAA服務(wù)器,實(shí)現(xiàn)與用戶名和MAC的綁定。進(jìn)而防止個(gè)人用戶的帳號(hào)、密碼被盜用,也可確定出用戶上網(wǎng)的位置,如果用戶名和密碼被盜,通過這一方式可以確定偷盜者的上網(wǎng)地點(diǎn)和時(shí)間,為問題的解決提供重要線索。 ● 流量整形、擁塞控制、隊(duì)列調(diào)度及CAR等QoS保障 在網(wǎng)絡(luò)設(shè)備上對(duì)用戶接入的業(yè)務(wù)流進(jìn)行匹配,對(duì)相應(yīng)用戶業(yè)務(wù)流按照約定的速率進(jìn)行帶寬限制,通過入口或出口的CAR和流量整形進(jìn)行調(diào)整,保證重要業(yè)務(wù)流的帶寬;進(jìn)行擁塞設(shè)置,當(dāng)流量超過緩存值時(shí),路由器入口處就將該流量超過閥值的數(shù)據(jù)包丟棄,同時(shí)告訴數(shù)據(jù)源端的TCP應(yīng)用減少窗口尺寸。 對(duì)于支持VC Shaping的BRAS設(shè)備來說還可以針接入用戶的發(fā)送數(shù)據(jù)頻率來進(jìn)行控制;對(duì)不同的應(yīng)用進(jìn)行不同的隊(duì)列優(yōu)先級(jí)分配,當(dāng)網(wǎng)絡(luò)擁擠時(shí),保證重要數(shù)據(jù)優(yōu)先通過,從而實(shí)現(xiàn)隊(duì)列調(diào)度。(CCW)- 1新型OA系統(tǒng)應(yīng)有“溫度”
- 2OA助力服飾企業(yè)實(shí)現(xiàn)信息的扁平化
- 3OA系統(tǒng)的強(qiáng)大首先取決于采用的技術(shù)
- 4OA成騰訊巨頭移動(dòng)互聯(lián)網(wǎng)戰(zhàn)略的下一個(gè)目標(biāo)?
- 5泛普軟件多元化服務(wù)讓服務(wù)更貼心
- 6十大策略保證內(nèi)網(wǎng)計(jì)算機(jī)安全
- 7怎么樣測(cè)試局域網(wǎng)網(wǎng)速
- 8淺述高性能計(jì)算的不同實(shí)現(xiàn)方法
- 9構(gòu)建P2P下載服務(wù)
- 10OA助力“移動(dòng)政務(wù)” 提速政府信息化
- 11金鄉(xiāng)縣執(zhí)法局舉行OA辦公自動(dòng)化系統(tǒng)培訓(xùn)
- 12當(dāng)今最流行網(wǎng)絡(luò)攻擊六大趨勢(shì)
- 13Linux下的RSS閱讀器
- 14怎樣評(píng)價(jià)代理防火墻的優(yōu)劣勢(shì)?
- 15從巴西世界杯看協(xié)同管理
- 16未來數(shù)年內(nèi)就會(huì)實(shí)現(xiàn)應(yīng)用的十大新穎技術(shù)
- 1710項(xiàng)Windows Live功能
- 18信息化建設(shè)促發(fā)展 OA辦公系統(tǒng)選型需謹(jǐn)慎
- 19SQLServer2005的10個(gè)高級(jí)特性
- 20利用辦公自動(dòng)化OA解決企業(yè)管理和辦公難題
- 21南昌OA辦公和HR系統(tǒng)是怎么整合的?
- 22文件備份系統(tǒng)無法保證數(shù)據(jù)完整
- 23局域網(wǎng)加速五個(gè)方法
- 24Exchange 2007遭遇集成難題
- 25Linux系統(tǒng)包管理器簡化操作
- 26OA系統(tǒng)如何塑造差異化品牌?
- 27OA系統(tǒng)的發(fā)展需要單位大膽的去使用
- 28整體安全注重哪些細(xì)節(jié)
- 29網(wǎng)格環(huán)境下的數(shù)據(jù)庫系統(tǒng)
- 30電子郵件系統(tǒng)發(fā)展趨勢(shì)
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓