網(wǎng)絡(luò)融合 安全為先
運(yùn)營(yíng)商應(yīng)對(duì)電信網(wǎng)絡(luò)IP化的安全策略
中國(guó)電信股份公司廣州研究院 金華敏 沈軍 2007/01/29
隨著軟交換網(wǎng)絡(luò)的逐步投入商用以及第三代移動(dòng)通信網(wǎng)絡(luò)(3G)全I(xiàn)P承載技術(shù)的日益成熟��,加之此前以IP網(wǎng)絡(luò)技術(shù)為基礎(chǔ)構(gòu)建的互聯(lián)網(wǎng)絡(luò)在全球范圍的飛速發(fā)展,電信網(wǎng)絡(luò)的IP化趨勢(shì)已經(jīng)不可逆轉(zhuǎn)�����。電信網(wǎng)絡(luò)IP化在給電信運(yùn)營(yíng)商帶來業(yè)務(wù)多樣化�、業(yè)務(wù)控制能力加強(qiáng)��、網(wǎng)絡(luò)建設(shè)成本降低等諸多好處的同時(shí)���,IP網(wǎng)絡(luò)所固有的安全問題始終是電信網(wǎng)絡(luò)IP化中揮之不去的陰影����。網(wǎng)絡(luò)安全��,已經(jīng)成為電信網(wǎng)絡(luò)IP化過程中運(yùn)營(yíng)商必須解決的重要問題之一�。
目前不少電信運(yùn)營(yíng)商在考慮軟交換�����、3G等業(yè)務(wù)的承載時(shí)�����,往往一開始就將眼光投向目前已經(jīng)建成并正在運(yùn)營(yíng)的公眾互聯(lián)網(wǎng)絡(luò),這種想法一旦付諸實(shí)施將給電信業(yè)務(wù)的開展留下巨大的安全隱患�����,F(xiàn)有的公眾互聯(lián)網(wǎng)絡(luò)為了迎合互聯(lián)網(wǎng)絡(luò)開放性和端到端透明的需要���,業(yè)務(wù)流���、信令和控制流、網(wǎng)絡(luò)和業(yè)務(wù)管理流在同一網(wǎng)絡(luò)空間承載�����,導(dǎo)致電信運(yùn)營(yíng)商的網(wǎng)元設(shè)備���、業(yè)務(wù)系統(tǒng)和管理系統(tǒng)等對(duì)用戶可見���,這就給惡意用戶對(duì)這些設(shè)備和系統(tǒng)的攻擊創(chuàng)造了條件,一旦攻擊成功將可能影響某一電信業(yè)務(wù)甚至一系列電信業(yè)務(wù)的提供�����。同時(shí),公眾互聯(lián)網(wǎng)絡(luò)上頻發(fā)的大規(guī)模異常攻擊流量以及垃圾郵件��、虛假地址流量等垃圾流量����,都在大量擠占網(wǎng)絡(luò)帶寬,將直接影響語音等電信業(yè)務(wù)的服務(wù)質(zhì)量����。鑒于上述種種安全風(fēng)險(xiǎn),運(yùn)營(yíng)商需從平面分離控制及帶寬管理等方面著手��,建設(shè)一張安全的電信IP承載網(wǎng)絡(luò)����,以滿足電信網(wǎng)絡(luò)IP化的要求。
網(wǎng)絡(luò)平面的邏輯分離
首先�,應(yīng)在目前IP網(wǎng)絡(luò)架構(gòu)下實(shí)現(xiàn)各電信業(yè)務(wù)的業(yè)務(wù)平面、控制平面���、管理平面的邏輯分離�����,其中互聯(lián)網(wǎng)業(yè)務(wù)平面主要承載互聯(lián)網(wǎng)業(yè)務(wù)流���,互聯(lián)網(wǎng)控制平面承載IP路由控制信息,互聯(lián)網(wǎng)管理平面承載互聯(lián)網(wǎng)業(yè)務(wù)的認(rèn)證����、計(jì)費(fèi)、網(wǎng)管信息����;軟交換業(yè)務(wù)平面主要承載語音流、媒體流���,軟交換控制平面承載信令流�����,軟交換管理平面承載相應(yīng)的認(rèn)證�����、計(jì)費(fèi)信息等���。通過平面的邏輯分離,一方面使電信運(yùn)營(yíng)商的關(guān)鍵業(yè)務(wù)系統(tǒng)和管理系統(tǒng)對(duì)用戶不再直接可見�����,有效避免惡意用戶對(duì)這些設(shè)備和系統(tǒng)的攻擊;另一方面可限制安全問題的影響范圍��,即某個(gè)電信業(yè)務(wù)存在的安全問題不會(huì)擴(kuò)散影響至其它電信業(yè)務(wù)���,例如互聯(lián)網(wǎng)用戶將無法直接攻擊軟交換���、3G等業(yè)務(wù)。
不同平面的邏輯分離可通過以MPLSVPN為主�,VLAN、專線接入為輔的方式實(shí)現(xiàn)�����?紤]具體實(shí)施難度��,互聯(lián)網(wǎng)業(yè)務(wù)平面和互聯(lián)網(wǎng)控制平面可直接承載在IP網(wǎng)絡(luò)上��,互聯(lián)網(wǎng)管理平面�����、軟交換業(yè)務(wù)平面����、軟交換控制平面��、軟交換管理平面等分別承載于不同的MPLSVPN中�。核心設(shè)備,如TG��、SG�、SS等,可用光纖/SDH/MSTP等方式通過就近的PE接入相應(yīng)的VPN���。大客戶終端可通過獨(dú)立專線或原有專線中新增的邏輯通道接入VPN�����。對(duì)于公眾散戶終端�����,可為其互聯(lián)網(wǎng)業(yè)務(wù)流量和軟交換業(yè)務(wù)流量等分配不同的VLANID���,進(jìn)而將不同的流量引到相應(yīng)的VPN。
平面內(nèi)的安全保護(hù)
其次�,在對(duì)各平面邏輯隔離形成不同的安全區(qū)域后���,應(yīng)該根據(jù)各域的特點(diǎn)輔以相應(yīng)的安全保護(hù)和控制措施。
業(yè)務(wù)平面實(shí)現(xiàn)用戶終端接入�����,因此該平面防護(hù)的主要目標(biāo)是加強(qiáng)用戶認(rèn)證����,防止非授權(quán)用戶接入網(wǎng)絡(luò),譬如在軟交換業(yè)務(wù)邊緣接入控制設(shè)備BAC上設(shè)置訪問控制列表�����,對(duì)未注冊(cè)用戶發(fā)送的信息進(jìn)行丟棄等����。同時(shí)需要加強(qiáng)業(yè)務(wù)和網(wǎng)絡(luò)資源使用的控制能力,避免部分用戶產(chǎn)生的大量垃圾流量影響正常用戶的網(wǎng)絡(luò)使用����,例如對(duì)于用戶私自架設(shè)SMTP郵件服務(wù)器濫發(fā)垃圾郵件的行為,可通過在用戶的接入點(diǎn)設(shè)置過濾規(guī)則來進(jìn)行全網(wǎng)邊緣化控制�,防范垃圾郵件流量穿透至大網(wǎng)。
控制平面承載了信令流和IP路由信息等,保障控制平面的安全是其它平面能夠正常工作的基礎(chǔ)��������?刂破矫娣雷o(hù)主要應(yīng)加強(qiáng)網(wǎng)元設(shè)備之間的信令和路由控制信息的認(rèn)證及控制,避免受到虛假信令和路由信息的干擾�����。以互聯(lián)網(wǎng)控制平面防護(hù)為例���,應(yīng)選用具有鄰居認(rèn)證的網(wǎng)絡(luò)路由協(xié)議�,并在實(shí)際使用中啟用路由認(rèn)證機(jī)制��,以確保系統(tǒng)接受的所有路由更新都來自正確的鄰居���;同時(shí)需要加強(qiáng)路由的保密性���,盡量避免對(duì)外部自治系統(tǒng)宣告關(guān)鍵系統(tǒng)的地址空間,實(shí)施路由保護(hù)�����。
管理平面的防護(hù)目標(biāo)是保護(hù)各網(wǎng)元設(shè)備和系統(tǒng)的安全性,減少其受到網(wǎng)絡(luò)攻擊或被入侵的可能性����。具體防護(hù)措施可包括:加強(qiáng)網(wǎng)元設(shè)備和系統(tǒng)的安全配置,關(guān)閉可能會(huì)給系統(tǒng)帶來安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)�����;實(shí)施對(duì)設(shè)備和系統(tǒng)的訪問控制����,限制遠(yuǎn)程訪問的終端地址范圍,并對(duì)遠(yuǎn)程訪問通信進(jìn)行安全加密�����;構(gòu)建統(tǒng)一認(rèn)證鑒權(quán)系統(tǒng)��,加強(qiáng)設(shè)備和應(yīng)用的身份認(rèn)證和授權(quán)�;加強(qiáng)網(wǎng)絡(luò)管理和業(yè)務(wù)終端的終端安全管理。
平面間的訪問控制
再次�,在互聯(lián)網(wǎng)絡(luò)/軟交換/3G不同業(yè)務(wù)之間或同一業(yè)務(wù)不同平面之間,由于業(yè)務(wù)要求需要進(jìn)行信息交互時(shí)�,為保證網(wǎng)絡(luò)的安全性�����,應(yīng)盡量?jī)H實(shí)現(xiàn)在應(yīng)用層的有限互聯(lián)���,避免在網(wǎng)絡(luò)層的直接互聯(lián),并輔以相應(yīng)的訪問控制策略����。訪問控制策略的設(shè)置應(yīng)遵循最小化原則�����,即平面間只開放所需的最小互訪權(quán)限���;要嚴(yán)格限制互聯(lián)網(wǎng)業(yè)務(wù)平面等低安全級(jí)別平面到其它高安全級(jí)別平面的訪問���,防止互聯(lián)網(wǎng)攻擊者借此互訪通道入侵軟交換/3G等關(guān)鍵業(yè)務(wù)系統(tǒng)。以軟交換為例����,部分的軟交換業(yè)務(wù)平臺(tái)有著接收來自互聯(lián)網(wǎng)的業(yè)務(wù)定制或配置的需求,需要將來自互聯(lián)網(wǎng)的業(yè)務(wù)信息傳入軟交換業(yè)務(wù)平臺(tái)����,在這種情況下��,為避免平臺(tái)直接與互聯(lián)網(wǎng)相連所帶來的風(fēng)險(xiǎn)�,可將兩者之間的訪問規(guī)則設(shè)置為只允許該業(yè)務(wù)平臺(tái)到互聯(lián)網(wǎng)的應(yīng)用層連接�,由業(yè)務(wù)平臺(tái)定期讀取互聯(lián)網(wǎng)業(yè)務(wù)定制請(qǐng)求。
啟用帶寬管理機(jī)制
最后����,在同一物理網(wǎng)絡(luò)承載互聯(lián)網(wǎng)絡(luò)/軟交換/3G等不同業(yè)務(wù)的情況下,需要實(shí)施不同業(yè)務(wù)之間以及同一業(yè)務(wù)不同流量平面的帶寬管理機(jī)制���,避免某一業(yè)務(wù)��、某一平面發(fā)生的大規(guī)模異常流量等安全問題給其他業(yè)務(wù)和平面造成影響���。考慮流量的QoS等級(jí)劃分��,管理和控制信息安全是保障業(yè)務(wù)正常運(yùn)作的關(guān)鍵�����,因此管理平面和控制平面應(yīng)賦予比業(yè)務(wù)平面更高的QoS等級(jí)���;在不同業(yè)務(wù)平面之間���,軟交換����、3G承載了語音等實(shí)時(shí)性要求較高的業(yè)務(wù)�����,因此軟交換和3G等業(yè)務(wù)應(yīng)賦予比互聯(lián)業(yè)務(wù)更高的QoS等級(jí)����。
QoS可采用DiffServ模型實(shí)現(xiàn)對(duì)流量的分類、標(biāo)記��、隊(duì)列調(diào)度和擁塞管理���。接入層面可通過專線或CoS區(qū)分機(jī)制來實(shí)現(xiàn)分類和標(biāo)記,例如對(duì)SS�����、TG等核心系統(tǒng)以及大客戶終端等�����,可使用專線方式完成不同業(yè)務(wù)的分類和標(biāo)記。在隊(duì)列調(diào)度和擁塞管理方面��,針對(duì)時(shí)延敏感的語音流��、關(guān)鍵的信令流�,應(yīng)考慮通過優(yōu)先級(jí)隊(duì)列策略保證其帶寬資源,而對(duì)于其他流量可采用加權(quán)公平隊(duì)列策略(WFQ)�。這樣一方面使重要的業(yè)務(wù)流和控制流有良好的帶寬保證,另一方面也可以使其他流量得到公平的帶寬保證��。在通過隊(duì)列管理各個(gè)業(yè)務(wù)流量的同時(shí)�,可輔以帶寬限制手段,對(duì)DDOS流量加以壓制���,降低其對(duì)正常業(yè)務(wù)流的影響��。
綜上所述��,隨著電信網(wǎng)絡(luò)IP化后NGN�、3G承載逐步轉(zhuǎn)向IP網(wǎng)絡(luò)����,作為業(yè)務(wù)承載核心的電信IP網(wǎng)絡(luò)��,必須對(duì)網(wǎng)絡(luò)安全問題進(jìn)行周密的考慮��,只要在網(wǎng)絡(luò)改造或網(wǎng)絡(luò)設(shè)計(jì)和實(shí)施上充分考慮以上的各點(diǎn)要求�,真正實(shí)現(xiàn)電信網(wǎng)絡(luò)安全將不再遙不可及���。
中國(guó)信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)
相關(guān)鏈接: