城域網安全防治及應對
前言:本站為你精心整理了城域網安全防治及應對范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
本文作者:彭小英黃大倫韋海清作者單位:廣西英華國際職業學院
一是城域網中的所有網絡設備具備防范口令探測攻擊的能力,以防止非法用戶使用暴力猜測方式獲得網絡設備的口令信息。二是城域網所有網絡設備上不必要的端口和服務應當關閉,在所有的網絡設備上可以提供SSH和FTPS服務。為確保設備配置文件的安全,針對網絡設備的升級操作應在本地進行,不建議對網絡設備采用遠程FTP方式進行升級操作。三是城域網中的網絡設備應該具有登錄受限功能,依靠ACL等方式只允許特定的IP地址登陸網絡設備,在受信范圍以外的IP地址應無法登錄網絡設備。四是城域數據網中所有的接入設備都必須支持SSH功能。五是網絡設備針對遠程網絡管理的需要,應當執行嚴格的身份認證與權限管理策略,并加強口令的安全管理。可對網絡設備的訪問權限進行分級控制,例如普通權限只能查看網絡設備的狀態而不能改變網絡設備的配置。
城域網安全策略部署
1.網絡協議的安全保證。協議安全重點關注城域數據網網元間所運行網絡協議本身的安全。城域網網絡設備應采用安全的網絡協議進行通信,利用必要的安全防護技術保證網絡設備本身的安全。一是在城域網中所使用的路由協議必須帶有驗證功能,對于鄰居關系、路由信息等的協議交互均需要提供必要的驗證手段,防止路由欺騙。路由器之間需要提供路由認證功能。路由認證(RoutingAuthentication),就是運行于不同網絡設備的相同動態路由協議之間,對相互傳遞的路由刷新報文進行確認,以便使得設備能夠接受真正而安全的路由刷新報文,所有的路由器設備應當采用密文方式的MD5或者SHA-1路由認證。二是如使用SNMP進行網管配置,須選擇功能強大的共用字符串(community),并建議使用提供消息加密功能的SNMP。如不通過SNMP對設備進行遠程配置,應將其配置成只讀。
2.訪問控制能力。一是對于城域網中的網絡設備,需要啟用訪問控制功能(ACL),其中業務接入控制設備啟用針對IP層和傳輸層的訪問控制功能,包括基于IP層及傳輸層包過濾規則的控制、基于MAC等二層信息的控制、基于用戶名密碼的接入控制;匯聚設備啟用針對MAC地址的訪問控制功能。二是對城域網中的路由器、交換機等網絡設備應當正確配置,并啟動設備本身自帶的安全功能。城域網網絡設備,必須配置合理的安全訪問規則,利用規則合理拒絕不應該進入城域數據網以及對網絡設備自身訪問的報文。三是在策略安全部署的時候,必須遵從最小化策略集的原則。最小化策略集原則指的是,針對必要的網絡訪問設置安全規則,而禁止未定義的訪問。
3.接入安全。一是用戶網絡接入城域網可以采用靜態路由或者帶認證的動態路由方式。在通過路由協議接入的情況下,可以采用恰當的路由過濾功能。在業務接入控制設備上配置嚴格的訪問控制策略以限制用戶側設備訪問城域數據網業務接入控制設備,并且僅允許用戶側設備和業務接入控制設備之間進行路由交換,不允許用戶側設備對業務接入控制設備進行其他的任何訪問。二是業務接入控制設備有防范針對自身的網絡入侵和DoS(拒絕服務)攻擊的能力;三是業務接入控制設備可對非法的突發流量進行帶寬限制;四是業務接入控制設備可反向路徑檢查;五是業務接入控制設備可對流量數據的采集、分析和監測能力。
4.網絡安全設備的部署。網絡安全設備部署不是必需的,可以根據業務需要,綜合考慮安全性價比后,在需要的網絡接入節點部署網絡安全設備。一是防火墻的部署:主要提供內外網隔離及訪問控制;內部網不同安全域的隔離及訪問控制。二是網絡安全評估分析軟件的部署:安裝網絡安全評估分析軟件。利用此類軟件掃描分析網絡系統,及時發現并修正存在的弱點和漏洞;還可利用此類軟件對用戶使用計算機網絡系統的進行記錄的過程,以便發現和預防可能的破壞活動。三是網絡安全掃描器的部署:在核心節點和網絡管理中心安裝網絡安全掃描器,對整個網絡進行安全掃描。四是入侵檢測和流量清洗系統的部署:對關鍵節點進行安全監控,部署入侵檢測系統,對網絡攻擊和病毒及時告警,分析異常流量,確定安全事件的性質和源頭,及時采取相應措施。
