青海寬帶思科“保安”

2019-11-05 00:07:44

字體：大中小

供稿：網(wǎng)友

　　　　假如你還停留在使用傳統(tǒng)的電路交換方式（PSTN或者ISDN）接入到互聯(lián)網(wǎng)，那么你將無(wú)法體會(huì)互聯(lián)網(wǎng)多媒體應(yīng)用給你帶來(lái)的巨大魅力。網(wǎng)絡(luò)用戶們迫切需要一種成熟、低成本的網(wǎng)絡(luò)接入方式，以迎接未來(lái)的海量數(shù)據(jù)傳輸。寬帶網(wǎng)絡(luò)正合他們所求。
　　
　　　　速度有了，那么數(shù)據(jù)傳輸中的安全問(wèn)題呢？
　　
　　　　網(wǎng)絡(luò)現(xiàn)實(shí)
　　
　　　　青海省寬帶互聯(lián)網(wǎng)的拓?fù)浣Y(jié)構(gòu)采用雙星形結(jié)構(gòu)。以西寧節(jié)點(diǎn)作為省中心，采用思科核心路由器做為全省雙星形拓?fù)浣Y(jié)構(gòu)的匯接，全省各地市節(jié)點(diǎn)以省中心為匯接節(jié)點(diǎn)，建立全省的交換中心和業(yè)務(wù)中心，下設(shè)包括西寧在內(nèi)的7個(gè)接入節(jié)點(diǎn)。全網(wǎng)省出口設(shè)置在西寧節(jié)點(diǎn)，實(shí)現(xiàn)與國(guó)家骨干網(wǎng)的互連。目前青海電信寬帶互聯(lián)網(wǎng)正高速、經(jīng)濟(jì)、穩(wěn)定、卓越服務(wù)質(zhì)量和持續(xù)安全地運(yùn)行著。
　　
　　　　為了適應(yīng)更加廣泛的寬帶業(yè)務(wù)應(yīng)用，更加完善的推廣寬帶接入，形成以城市智能化小區(qū)和綜合布線大樓為單元的全城數(shù)碼網(wǎng)絡(luò)，在西寧構(gòu)建寬帶網(wǎng)絡(luò)的過(guò)程中，采用了以寬帶DPT光傳輸環(huán)技術(shù)為基礎(chǔ)的覆蓋全市的骨干網(wǎng)和以太網(wǎng)為主要網(wǎng)絡(luò)接入手段的層次化網(wǎng)絡(luò)結(jié)構(gòu)模型。
　　
　　　　心系安全
　　
　　　　青海電信寬帶網(wǎng)系統(tǒng)的總體安全級(jí)別符合短板效應(yīng)原理，系統(tǒng)安全級(jí)別的高低取決于系統(tǒng)安全治理最薄弱的環(huán)節(jié)。要加強(qiáng)系統(tǒng)的總體安全級(jí)別，不是安裝一個(gè)產(chǎn)品或幾個(gè)功能單一的工具就能實(shí)現(xiàn)的，必須從網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)甚至系統(tǒng)安全治理規(guī)范，使用人員安全意識(shí)等各個(gè)層面統(tǒng)籌考慮。
　　
　　　　網(wǎng)絡(luò)用戶面臨的安全性威脅主要有四種：泄露、假冒、篡改、惡意攻擊。其中，主機(jī)、路由節(jié)點(diǎn)以及傳輸線路則是網(wǎng)絡(luò)中被攻擊的主要目標(biāo)。
　　
　　　　對(duì)于網(wǎng)絡(luò)用戶而言，安全性問(wèn)題已經(jīng)成為個(gè)人用戶以及企業(yè)級(jí)用戶進(jìn)行網(wǎng)絡(luò)交流時(shí)需要考慮的第一要?jiǎng)?wù)。
　　
　　　　網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)于自身網(wǎng)絡(luò)的安全問(wèn)題更為重視，安全保障失敗將使其網(wǎng)絡(luò)用戶在進(jìn)行電子商務(wù)和新式網(wǎng)絡(luò)應(yīng)用時(shí)喪失信心，嚴(yán)重影響運(yùn)營(yíng)商的業(yè)務(wù)開展和業(yè)務(wù)運(yùn)營(yíng)；同時(shí)，假如運(yùn)營(yíng)商自身的治理和計(jì)費(fèi)系統(tǒng)遭受安全攻擊，其損失不可估量。
　　

　　西寧寬帶整體網(wǎng)絡(luò)示意圖
　　　　立體防御
　　
　　　　在青海寬帶項(xiàng)目中，思科為其度身定制及成功部署的整體安全解決方案，為電信級(jí)安全網(wǎng)絡(luò)做出了正面例證。
　　
　　　　1.主干網(wǎng)絡(luò)
　　
　　　　在保證網(wǎng)絡(luò)運(yùn)行效率的前提下，采取各種措施盡可能使網(wǎng)絡(luò)變得更加安全，對(duì)于主干網(wǎng)絡(luò)，采取的安全性措施包括：
　　
　　　　訪問(wèn)級(jí)的安全控制
　　
　　　　該安全措施的核心點(diǎn)在于有效控制對(duì)節(jié)點(diǎn)的訪問(wèn)。在該安全措施的實(shí)施中，沒有把對(duì)用戶身份的鑒別和對(duì)權(quán)限的驗(yàn)證等功能孤立起來(lái)，分散在各個(gè)遠(yuǎn)端的路由器上實(shí)現(xiàn)，而是使用集中式的控制方式利用TACACS/RADIUS Server的方式實(shí)現(xiàn)，設(shè)立一臺(tái)專門用于保證安全性的服務(wù)器，連接在這個(gè)網(wǎng)絡(luò)的所有網(wǎng)絡(luò)節(jié)點(diǎn)和其上的治理用戶，不管它需要以什么樣的方式訪問(wèn)網(wǎng)絡(luò)設(shè)備，都必須通過(guò)服務(wù)器的安全性監(jiān)測(cè)，從而在訪問(wèn)級(jí)層面上實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全。
　　
　　　　主干網(wǎng)的數(shù)據(jù)流過(guò)濾
　　
　　　　為了實(shí)現(xiàn)在主干網(wǎng)上對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾，可以通過(guò)對(duì)傳輸數(shù)據(jù)流的源、目的ip地址的過(guò)濾實(shí)現(xiàn)；路由器中提供的防火墻功能稱之為ACL（access Control List），它主要是完成過(guò)濾功能，包括如下功能：
　　
　　　　●Standard IP access-lists: 使用IP源地址進(jìn)行處理；
　　
　　　　●Extended IP access-lists: 使用IP源地址和目的地址進(jìn)行處理，同時(shí)也可選用協(xié)議類型進(jìn)行處理；
　　
　　　　●Dynamic extended IP access-lists: 答應(yīng)特定用戶訪問(wèn)特定的源或目的主機(jī)。
　　
　　　　考慮到提供強(qiáng)勁的過(guò)濾功能往往還不能滿足網(wǎng)絡(luò)安全的要求，還為青海電信寬帶城域網(wǎng)設(shè)計(jì)一種記錄統(tǒng)計(jì)功能，實(shí)現(xiàn)對(duì)試圖突破過(guò)濾器的入侵者入侵次數(shù)的信息記錄統(tǒng)計(jì)，包括入侵者的源、目的IP地址；源、目的端口號(hào)及包文數(shù)量等，以便網(wǎng)絡(luò)治理員采取相應(yīng)的對(duì)付措施。
　　
　　　　網(wǎng)絡(luò)設(shè)備的身份認(rèn)證
　　
　　　　為了實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)設(shè)備的身份認(rèn)證，選用具有身份鑒別功能的路由協(xié)議，如OSPF、EIGRP。通過(guò)md5（Message Digest 5）加密技術(shù)判定接收到的路由信息是否可靠，拋棄他人惡意偽造的路由信息。
　　
　　　　網(wǎng)絡(luò)設(shè)備安全化治理
　　
　　　　為了達(dá)成網(wǎng)絡(luò)設(shè)備治理的安全化，對(duì)網(wǎng)絡(luò)設(shè)備的治理設(shè)立多級(jí)層次，如只可查詢網(wǎng)絡(luò)連接情況者，可修改路由設(shè)置者，以及具有所有權(quán)限者。并且將所有人員的每次治理行為進(jìn)行集中記錄，在可能的情況下采用帶外網(wǎng)管的方式，實(shí)現(xiàn)網(wǎng)管網(wǎng)與數(shù)據(jù)承載網(wǎng)的隔離。
　　
　　　　2.用戶接入端
　　
　　　　對(duì)于各介入用戶系統(tǒng)的安全保障，除了采用訪問(wèn)控制、多級(jí)治理、路由確認(rèn)、IP流過(guò)濾控制等與主干網(wǎng)絡(luò)的安全防護(hù)相類似的手段外，還為青海電信寬帶采用了以下幾種更專門的安全技術(shù)來(lái)保護(hù)各接入用戶。

　　
　　　　網(wǎng)絡(luò)層信息加密
　　
　　　　對(duì)網(wǎng)絡(luò)層進(jìn)行信息加密是為了減輕主干網(wǎng)絡(luò)設(shè)備負(fù)載，提高其效率，但信息加密等安全措施應(yīng)由各用戶自己完成。
　　
　　　　隔離每個(gè)用戶
　　
　　　　采用每個(gè)用戶一個(gè)虛擬網(wǎng)或者PPPoE 的方式隔離用戶，有效防止偽造IP 地址等事件的發(fā)生。
　　
　　　　安全策略違規(guī)記錄
　　
　　　　可在路由器上或另外指定任一臺(tái)UNIX機(jī)器記錄違反安全訪問(wèn)列表的行為，為網(wǎng)絡(luò)系統(tǒng)的安全性檢查提供必要信息。
　　
　　　　安閑暢游
　　
　　　　基礎(chǔ)網(wǎng)絡(luò)的高安全性已經(jīng)成為電信運(yùn)營(yíng)商選擇網(wǎng)絡(luò)廠商及其相關(guān)產(chǎn)品的最重要因素之一。同用戶一樣，運(yùn)營(yíng)商也渴望獲得網(wǎng)絡(luò)環(huán)境的安全，自由的翱翔在自身構(gòu)建的健康網(wǎng)絡(luò)系統(tǒng)之中，為其用戶提供更多、更高質(zhì)量和更有贏利前景的基本電信服務(wù)和網(wǎng)絡(luò)增值服務(wù)，并實(shí)現(xiàn)安全的計(jì)費(fèi)、治理和維護(hù)。
　　
　　　　事實(shí)證實(shí)，思科的安全解決方案是集成于用戶級(jí)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之上的整體安全解決方案，充分體現(xiàn)了思科模塊化安全設(shè)計(jì)和分層防御思想的SAFE安全藍(lán)圖、針對(duì)異構(gòu)安全產(chǎn)品間的互操作而提出的AVVID合作伙伴計(jì)劃以及安全認(rèn)證專業(yè)化，為青海電信寬帶實(shí)現(xiàn)城域網(wǎng)絡(luò)動(dòng)態(tài)防護(hù)和整體安全的同時(shí)，也成功夯實(shí)了青海電信網(wǎng)絡(luò)與安全雙重的堅(jiān)實(shí)基礎(chǔ)。
　　
　　　　SAFE安全藍(lán)圖采用了模塊化設(shè)計(jì)和分層防御的思想，使青海電信寬帶網(wǎng)絡(luò)安全防御體系具備了良好的彈性和可擴(kuò)展性，可以根據(jù)西寧城域網(wǎng)拓?fù)浣Y(jié)構(gòu)的變化靈活進(jìn)行安全策略調(diào)整，以實(shí)現(xiàn)對(duì)于該城域網(wǎng)的動(dòng)態(tài)防護(hù)和整體安全。
　　
　　　　為了有效應(yīng)對(duì)不法分子的復(fù)合式攻擊，在為青海寬帶城域網(wǎng)構(gòu)筑的安全防御體系中運(yùn)用了多種安全產(chǎn)品的聯(lián)合防御方法，這些安全產(chǎn)品來(lái)自于不同的廠商，通過(guò)思科的AVVID合作伙伴計(jì)劃集成一體，使這些異構(gòu)產(chǎn)品之間維持了良好的互操作性，溝通順暢、互動(dòng)及時(shí)，一同擔(dān)負(fù)起維護(hù)青海電信寬帶城域網(wǎng)整體安全的“保安”職責(zé)。

上一篇：思科帶寬管理資料

下一篇：思科實(shí)戰(zhàn)之WS-X4232-L3:一個(gè)小的意外