監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

城域網(wǎng)匯聚層安全控制

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件 在電信運(yùn)營商網(wǎng)絡(luò)系統(tǒng)中,匯聚層安全問題是最難解決的,因?yàn)槠浣尤氲念愋投喽鴱?fù)雜,有IP網(wǎng)也有非IP網(wǎng),這就給我們制定相應(yīng)的安全策略帶來相應(yīng)的挑戰(zhàn)。   對(duì)于城域網(wǎng)的安全,可分為核心層、匯聚層和接入層,其中匯聚層是最關(guān)鍵的一層,匯聚層設(shè)備是用戶管理的基本設(shè)備,也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障,更是保障城域網(wǎng)安全性能的關(guān)鍵,同時(shí),匯聚層安全問題是最難解決的,因?yàn)槠浣尤氲念愋投喽鴱?fù)雜,有IP網(wǎng)也有非IP網(wǎng),不能簡單地應(yīng)用防火墻、IDS等IP網(wǎng)絡(luò)安全產(chǎn)品,以下就這方面的安全策略作一個(gè)簡單的闡述。   ● 調(diào)整BRAS部署策略   進(jìn)行BRAS邊緣化,訪問控制可以在邊緣BRAS上進(jìn)行,如果仍然保持集中方式,可以考慮在BRAS后部署防火墻,可以將原有BRAS訪問控制功能轉(zhuǎn)移到防火墻后,這樣可以降低BRAS負(fù)載,及進(jìn)行更細(xì)粒度的訪問控制。   限制每個(gè)VLAN下的用戶數(shù)量,減少PPP建立過程中廣播包的廣播范圍,提高網(wǎng)絡(luò)性能, BRAS推到邊緣后,VLAN ID數(shù)目受到的限制問題也得到了緩解。   細(xì)粒度的三層訪問控制在BRAS或BRAS設(shè)備后端三層設(shè)備上進(jìn)行。   ● 部署小容量BRAS服務(wù)器,PVLAN的劃分和端口保護(hù)技術(shù),專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)   進(jìn)行接入側(cè)用戶相互隔離,防止IP地址被盜用或仿冒,防止用戶間的相互攻擊;充分利用寬帶接入服務(wù)器BRAS支持802.1q的特性,來實(shí)現(xiàn)對(duì)不同用戶的服務(wù),縮小廣播域,提高城域網(wǎng)的整體服務(wù)性能。在用戶側(cè)部署中小容量的BRAS服務(wù)器,可把原來的超大二層網(wǎng)絡(luò)分成若干個(gè)小型的二層網(wǎng)絡(luò),降低管理的難度和復(fù)雜度。   在若干小型網(wǎng)絡(luò)中還可以繼續(xù)劃分PVLAN,PVLAN是在802.1Q  VLAN的基礎(chǔ)之產(chǎn)生的,是在VLAN內(nèi)進(jìn)行進(jìn)一步的VLAN劃分,從而可以實(shí)現(xiàn)靈活的用戶隔離方案,即把同一VLAN里的不同端口進(jìn)行邏輯的隔離,從而更好的進(jìn)行同一個(gè)VLAN里不同端口出入流的控制。端口保護(hù)是對(duì)端口進(jìn)行相應(yīng)的配置來實(shí)現(xiàn)保護(hù)端口隔離,各個(gè)保護(hù)端口只允許與非保護(hù)端口進(jìn)行信息交流,而各個(gè)保護(hù)端口之間的信息不能互通;一般來講,PVLAN和端口保護(hù)技術(shù)結(jié)合使用效果會(huì)更好。   寬帶專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié),這樣可以防止用戶的廣播包對(duì)骨干交換機(jī)的沖擊?;贚AN的專線用戶,通過專線直接連到網(wǎng)絡(luò)核心,當(dāng)用戶發(fā)起廣播時(shí),就會(huì)使核心網(wǎng)絡(luò)路由表產(chǎn)生波動(dòng),還會(huì)影響核心網(wǎng)絡(luò)設(shè)備的性能,所以建議在匯聚層終結(jié),再把信息上傳到網(wǎng)絡(luò)核心。   ● 用戶認(rèn)證機(jī)制,安全密碼體系   目前常見的用戶認(rèn)證機(jī)制主要可以分為兩大類,一種是基于網(wǎng)關(guān)的驗(yàn)證機(jī)制,利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證, AAA綁定一般采用的都是靜態(tài)綁定方式,而動(dòng)態(tài)綁定一般是在接入設(shè)備上實(shí)現(xiàn)的,綁定技術(shù)的有效應(yīng)用,主要用于解決賬號(hào)盜用,用戶定位等問題。另外一種認(rèn)證機(jī)制是將用戶的數(shù)據(jù)流和控制信息分開,認(rèn)證服務(wù)只需對(duì)用戶的認(rèn)證信息(控制信息)進(jìn)行驗(yàn)證,通過驗(yàn)證后,用戶數(shù)據(jù)包就不再通過認(rèn)證服務(wù)器而直接由交換機(jī)處理。   根據(jù)我們實(shí)際的情況,對(duì)于純的DLSAM匯聚方式那部分網(wǎng)絡(luò),可以采用第一種基于網(wǎng)關(guān)的驗(yàn)證機(jī)制,利用BRAS+AAA驗(yàn)證服務(wù)器完成對(duì)用戶的身份驗(yàn)證,所有撥號(hào)用戶都首先進(jìn)行撥號(hào)與 BRAS進(jìn)行連接,從BRAS獲得動(dòng)態(tài)分配給的IP地址,并從AAA服務(wù)器獲得用戶名驗(yàn)證信息,從而完成通信。   對(duì)于具有支持IEEE802.1X認(rèn)證機(jī)制的二層以太交換機(jī)部分,我們采用第二種基于IEEE802.1X的認(rèn)證機(jī)制,IEEE802.1X認(rèn)證機(jī)制是把用戶的認(rèn)證和交換機(jī)端口激活聯(lián)系在一起,交換機(jī)要求用戶提供有關(guān)的用戶名和口令信息,通過了認(rèn)證,端口就激活,實(shí)現(xiàn)正常訪問,否則斷開。   通過上述認(rèn)證機(jī)制可以實(shí)現(xiàn)基于用戶的訪問權(quán)限控制、計(jì)費(fèi)和服務(wù)類型控制,而不是基于每個(gè)站點(diǎn)內(nèi)的所有用戶計(jì)費(fèi)。   ● IP地址、MAC地址、用戶名及卡號(hào)綁定   IP地址、MAC地址、用戶名及卡號(hào)綁定能夠準(zhǔn)確定位用戶,并可提供追查惡意用戶的。   對(duì)于純DLSAM撥號(hào)用戶可實(shí)現(xiàn)MAC、端口和用戶名綁定,將不同VLAN內(nèi)對(duì)應(yīng)用戶的MAC地址送到BRAS,再由BRAS將其送到AAA服務(wù)器,實(shí)現(xiàn)與用戶名和MAC的綁定。進(jìn)而防止個(gè)人用戶的帳號(hào)、密碼被盜用,也可確定出用戶上網(wǎng)的位置,如果用戶名和密碼被盜,通過這一方式可以確定偷盜者的上網(wǎng)地點(diǎn)和時(shí)間,為問題的解決提供重要線索。   ● 流量整形、擁塞控制、隊(duì)列調(diào)度及CAR等QoS保障   在網(wǎng)絡(luò)設(shè)備上對(duì)用戶接入的業(yè)務(wù)流進(jìn)行匹配,對(duì)相應(yīng)用戶業(yè)務(wù)流按照約定的速率進(jìn)行帶寬限制,通過入口或出口的CAR和流量整形進(jìn)行調(diào)整,保證重要業(yè)務(wù)流的帶寬;進(jìn)行擁塞設(shè)置,當(dāng)流量超過緩存值時(shí),路由器入口處就將該流量超過閥值的數(shù)據(jù)包丟棄,同時(shí)告訴數(shù)據(jù)源端的TCP應(yīng)用減少窗口尺寸。   對(duì)于支持VC Shaping的BRAS設(shè)備來說還可以針接入用戶的發(fā)送數(shù)據(jù)頻率來進(jìn)行控制;對(duì)不同的應(yīng)用進(jìn)行不同的隊(duì)列優(yōu)先級(jí)分配,當(dāng)網(wǎng)絡(luò)擁擠時(shí),保證重要數(shù)據(jù)優(yōu)先通過,從而實(shí)現(xiàn)隊(duì)列調(diào)度。(CCW)  
發(fā)布:2007-04-22 10:02    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普南昌OA信息化其他應(yīng)用

南昌OA軟件 南昌OA新聞動(dòng)態(tài) 南昌OA信息化 南昌OA快博 南昌OA行業(yè)資訊 南昌軟件開發(fā)公司 南昌門禁系統(tǒng) 南昌物業(yè)管理軟件 南昌倉庫管理軟件 南昌餐飲管理軟件 南昌網(wǎng)站建設(shè)公司