NGN承載網(wǎng)網(wǎng)絡(luò )安全

1 NGN承載網(wǎng)安全方案概略
　　NGN承載網(wǎng)采用的IP技術(shù)，與基于A(yíng)TM和SDH的承載網(wǎng)相比，其開(kāi)放性特點(diǎn)非常適合網(wǎng)絡(luò )業(yè)務(wù)的發(fā)展，但IP協(xié)議的開(kāi)放性和公用性，也使NGN網(wǎng)絡(luò )不可避免地受到黑客或病毒程序的攻擊或干擾，面臨如用戶(hù)仿冒、盜打、破壞服務(wù)、搶占資源等安全問(wèn)題。 NGN業(yè)務(wù)網(wǎng)與數據業(yè)務(wù)網(wǎng)二層隔離，形成一個(gè)相對封閉的業(yè)務(wù)網(wǎng)。應對所有進(jìn)行NGN業(yè)務(wù)網(wǎng)的每一個(gè)入口進(jìn)行嚴格的安全控制。
　　1. NGN業(yè)務(wù)網(wǎng)核心網(wǎng)絡(luò )設備（軟交換、SG、TMG）通過(guò)防火墻接入NGN業(yè)務(wù)網(wǎng)，防止對關(guān)鍵設備的網(wǎng)絡(luò )攻擊。
　　2. IAD接入端口是NGN業(yè)務(wù)網(wǎng)最大的安全隱患，IAD設備處于用戶(hù)端，存在被利用來(lái)惡意攻擊運營(yíng)商關(guān)鍵網(wǎng)絡(luò )設備（如軟交換、信令網(wǎng)關(guān)、中繼網(wǎng)關(guān)、應用服務(wù)器）的可能性。一方面建議采用樓道IAD，通過(guò)物理安全來(lái)保證接入端口不被非法訪(fǎng)問(wèn)，另一方面所有IAD設備都通過(guò)BAS接入NGN業(yè)務(wù)網(wǎng)，由BAS進(jìn)行IAD的接入控制和管理。
　　3. 數據業(yè)務(wù)網(wǎng)通過(guò)IP-IP網(wǎng)關(guān)（IMG）與NGN業(yè)務(wù)網(wǎng)互通，安全性很高，NGN不易受到數據業(yè)務(wù)網(wǎng)的攻擊。 NGN承載網(wǎng)網(wǎng)絡(luò )安全架構如下圖所示。

2 NGN部件設備自身安全規格
　　軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設備等NGN部件在IP網(wǎng)中的地位類(lèi)似于網(wǎng)絡(luò )主機設備，因此要求軟交換、網(wǎng)關(guān)、服務(wù)器、IAD設備應具備數據網(wǎng)中主機設備所具有的安全規格，如用戶(hù)登錄管理、網(wǎng)管安全等。
3 BAS網(wǎng)絡(luò )安全控制的特性
3.1用戶(hù)管理
　　用戶(hù)管理包括物理端口管理和IAD/AG設備認證，IAD/AG通過(guò)BAS完成接入認證，再與軟交軟交互完成業(yè)務(wù)認證。BAS通過(guò)物理端口和二層標識（VLAN和PVC）作為用戶(hù)的標識，使無(wú)運營(yíng)、無(wú)管理的寬帶接入網(wǎng)成為可運營(yíng)、可管理的電信級網(wǎng)絡(luò )。
　　1、 在策略服務(wù)器（PS）和BOSS/OSS配合下，可實(shí)現局端電話(huà)控制業(yè)務(wù)，可隨時(shí)根據用戶(hù)的交費、開(kāi)戶(hù)和安全（如流量異常）等情況，迅速激活或關(guān)閉用戶(hù)，不需要在物理線(xiàn)路上或親自到用戶(hù)端進(jìn)行操作。
　　2、 BAS對IAD設備進(jìn)行認證，通過(guò)靜態(tài)或動(dòng)態(tài)IP+VLAN+MAC綁定，實(shí)現用戶(hù)過(guò)濾，防止地址盜用；
　　3、 可以限制VLAN下接入的IAD數目，防止假冒用戶(hù)的惡意攻擊，保護網(wǎng)上關(guān)鍵資源，防止非法用戶(hù)發(fā)起攻擊，耗盡DHCP服務(wù)器地址資源，使合法IAD用戶(hù)不能獲得地址，通過(guò)log或告警信息進(jìn)行攻擊追查；
　　4、 通過(guò)實(shí)時(shí)計費等功能，可以對每個(gè)IAD的流量信息進(jìn)行統計，用作業(yè)務(wù)和網(wǎng)絡(luò )分析，檢測是否有異常流量等情況。
3.2用戶(hù)信息隔離
　　在城域接入層采用一層/二層隔離技術(shù)隔離用戶(hù)和業(yè)務(wù)，保證用戶(hù)之間信息的隔離。IAD通過(guò)二層隔離技術(shù)接入BAS，由BAS通過(guò)靜態(tài)防火墻（ACL）控制IAD之間的互訪(fǎng)或IAD對NGN其它設備的互訪(fǎng)。
3.3動(dòng)態(tài)防火墻
　　動(dòng)態(tài)防火墻的原理與3.2.4動(dòng)態(tài)QoS策略類(lèi)似，通過(guò)承載網(wǎng)對NGN業(yè)務(wù)的感知來(lái)實(shí)現動(dòng)態(tài)安全策略。IAD初始接入時(shí)，BAS為IAD設置初始ACL，只能訪(fǎng)問(wèn)軟交換。IAD向軟交換發(fā)起呼叫，策略路由器（PS）通過(guò)與較交換的交互IAD呼叫信息，獲知被叫IAD的IP地址及端口號，動(dòng)態(tài)向BAS下發(fā)安全策略，從而實(shí)現主被叫的互通。

中國通信網(wǎng)(www.c114.net)—由CHINA通信網(wǎng)組稿