IP承载网安全策略与实现

IP承载网安全策略与实现

郭丽媛1张国钦2

郭丽媛1张国钦2

（1中国联合网络通信有限公司郑州市分公司网管中心河南郑州4500012河南教育学院现代教育技术中心河南郑州450046）

中图分类号：TP393.08文献标识码：A文章编号：41-1413（2011）12-0000-01

摘要：针对IP承载网面临的安全问题，提出了采用三个平面的安全策略来实现网络的安全保护，即：管理平面安全策略、控制平面安全策略和业务接入安全策略。

关键词：IP承载网安全策略管理控制

IPBearerNetworkSecurityPolicyandImplementation

GUOLi-yuan,ZHANGGuo-qin

（1.NetworksManagementCenter,ChinaUnitedNetworkCommunicationsCo.Ltd.ZhengzhouBranch,Zhengzhou450001,China；2.ModernEducationTechnologyCenter,HenanInstitueofEducation,Zhengzhou450046,China）

Abstract：Thispaperproposeathree-planesecuritypolicytoresolvesecurityproblemsthatIPbearernetworkfacedwith,namely:themanagementplanesecuritypolicy,thecontrolplanesecuritypolicyandthebusinessaccesssecuritypolicy.

Keywords：IPbearernetwork；securitypolicy；management；control

1引言

IP承载网是各运营商以IP技术构建的一张专网，用于承载对传输质量要求较高的业务（如软交换、视讯、重点客户VPN等）。IP承载网的安全关系到整个通信网络的稳定和发展。IP承载网安全管理需要建立一个统一的安全管理体系，将技术手段与管理手段进行充分整合，发挥网络安全管理的整体优势，充分体现网络安全管理集中化、层次化的特点。基于以上考虑，本文提出了采用三个平面的安全策略来实现IP承载网的安全保护，即：管理平面安全策略、控制平面安全策略和业务接入安全策略。

2管理平面安全策略

管理平面安全策略是为了保护网络设备管理平台的安全访问和信息收集。管理平面的安全威胁主要是恶意用户对路由器的非法登录，进而控制路由器的管理平面。实施网络管理员的分权和分级制，严格控制对网络控制访问的权限，从内部管理上避免误操作的安全隐患。是管理平面安全措施中的重要环节。例如高级网管员可以修改配置，删除账号，低级管理员只能查看网管界面，不能做任何改动；对设备的访问控制实施AAA集中管理，避免采用设备本身的认证；启动SSH用户管理安全，禁止从客户网络直接登入到网络设备；采用Radius、TACACS+（可选）等加密的认证方式，保证用户名和密码在网上传递的信息是经过加密的。同时，对网络口令需要有审计的功能，防止被盗用密码的现象发生；关闭网络不必要的功能和端口，关闭所有默认开启。但是，非必需的服务：如TCP/UDP小包服务、finger等服务；SNMP采用V2/V3版本，实施MD5认证加密，通过MIBView限制对包含大数据量的表类型变量的访问（路由表和CEF表）。

3控制平面安全策略

控制平面安全策略主要是保护网络设备核心控制平台的业务处理转发，包括路由协议、路由信息和其它协议报文，还包括承载网设备本身的主机软件，控制平面对于IP承载网是非常重要的，关系到整个IP承载网的正常运转。控制平面的安全威胁主要包括以下三个方面：非法路由攻击（如非法邻居，发布非法路由，路由振荡等，主要来自大客户VPN网络）；大客户VPN内部恶意用户对控制资源的侵占（如PE的路由表容量、ARP表容量等）和恶意用户或者病毒到路由器管理平面DDOS攻击，占用CPU和内存资源。

控制平面的安全方案包括为了防止非法的路由邻居，关闭没有路由协议功能需求端口；对于非信任的网络启动安全路由协议，主要措施包括：BGPDamping功能（防止其它网络路由波动对IP承载网的冲击）、MD5认证等避免建立非法的路由邻居关系，特别是ASBR的EBGPPEER启动MD5认证；对于非信任的小客户网络，采用静态路由方式，CE与PE之间可以通过配置静态路由增加安全性，能有效避免非法连接和路由攻击；BGP保护，限定合法PEER路由器IP地址和所在AS号，避免建立非法的BGP邻居；在与大客户VPN建立的路由上实施路由过滤，在PE与CE的接口上应用访问控制列表（ACL）来限制，只允许来自CE的路由协议进入PE，同时在所有Access端口上采用分组过滤策略拒绝非法的EBGP协议数据包。

针对大客户VPN网络，PE路由器启动路由限制，限制VRF路由条目，避免可能来自用户网络的海量路由攻击对该PE所接其他VPN的不良影响；实施NTP过滤，IP承载网通过分组过滤限制从外网进入承载网的NTP数据包，同时在NTP会话上进行MD5认证；在启动了动态路由协议的P/PE路由器启动路由振荡抑制功能，主要包括三个方面：IP承载网路由器之间启动链路振荡抑制功能，防止链路波动对路由的冲击；PE路由器与外部网络的路由协议启动振荡抑制，防止客户网络路由波动对IP承载网的影响；静态路由方式，不响应客户网络路由的波动。目前高端设备控制引擎具备动态状态防火墙功能，能够动态访问SynFlood、TCP伪装攻击，保护设备控制引擎CPU资源。

4业务接入安全策略

业务平面主要是指IP承载网承载的各种业务包括软交换信令业务、媒体业务、分组数据和增值业务等。业务平面的安全威胁来自不同安全域的流量互通冲击，主要是业务VPN网络或者其它网络对内部系统的攻击；外部系统流量过载或者内部系统流量过载，超过SLA承诺带宽，影响其它业务的正常使用；非法流量泛滥消耗带宽，主要来自业务VPN网络，这些流量会抢占IP承载网的带宽，影响其它业务，如软交换业务的使用。业务平面的安全措施包括：MPLSVPN安全隔离、PE分设和防止异常流量攻击。业务平面安全基础是采用MPLSVPN逻辑网络实现不同业务的安全隔离，MPLSVPN安全等级能够等同于ATM/FR，并且在IP承载网得到成熟应用。从实际使用情况来看，目前没有由于VPN客户对网络的攻击导致网络瘫痪的报告，也没有MPLSVPN内用户被其他VPN用户攻击的报告。尽管MPLSVPN是安全的，但是仍然存在安全风险，MPLSPE分设使VPN的安全风险主要存在于PE，为防范安全隐患，在PE—CE间部署严格的安全策略，以防止异常流量攻击。包括基本的ACL过滤、uRPF反向地址检测和CAR进行流量限制。

作者简介：

郭丽媛（1984-），女，河南郑州人，中国联合网络通信有限公司郑州市分公司助理工程师.