邊界隔離

• 　防火墻隔離

　　軟交換網(wǎng)絡(luò)關(guān)鍵設(shè)備如軟交換、應(yīng)用服務(wù)器和網(wǎng)關(guān)等放置在IP網(wǎng)絡(luò)上，相當(dāng)于IP網(wǎng)絡(luò)上的主機(jī)，存在著被攻擊的危險(xiǎn)，為保證關(guān)鍵設(shè)備的安全，需要在重要的網(wǎng)絡(luò)設(shè)備前面放置防火墻以保證軟交換核心網(wǎng)絡(luò)設(shè)備的安全。

• 接入用戶身份認(rèn)證

　　軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時(shí)必須經(jīng)過(guò)嚴(yán)格的認(rèn)證，確認(rèn)用戶的身份后才允許用戶接入NGN網(wǎng)絡(luò)。
　　根據(jù)前面的論述，為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性，必須做到以下幾點(diǎn)：

1. 在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備，防止對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊；



2. 把NGN與Internet等其他網(wǎng)絡(luò)進(jìn)行隔離，保證除NGN設(shè)備和用戶外其他用戶無(wú)法通過(guò)非法途徑訪問(wèn)NGN；



3. 對(duì)用戶與軟交換交互的信令消息進(jìn)行加密，確保無(wú)法被非法監(jiān)聽(tīng)；



4. 在接入層對(duì)用戶接入和業(yè)務(wù)使用進(jìn)行嚴(yán)格控制，用戶必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò)，用戶的業(yè)務(wù)使用也必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證。

　　軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPLSVPN網(wǎng)絡(luò)，對(duì)于內(nèi)部大客戶可以通過(guò)專線直接接入，其他非信任區(qū)域的終端用戶只能通過(guò)信令媒體代理設(shè)備訪問(wèn)，同時(shí)采用IPSec加密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴(yán)格控制終端的接入，對(duì)終端標(biāo)志、IP地址、MAC地址進(jìn)行認(rèn)證。

　　總之，下一代網(wǎng)絡(luò)的安全保證是一個(gè)系統(tǒng)工程，使用任何單獨(dú)的技術(shù)都無(wú)法完成這個(gè)任務(wù)，只有綜合運(yùn)用加密、認(rèn)證、防攻擊等各種安全保障手段，并且相互配合才可以構(gòu)建一個(gè)安全的下一代網(wǎng)絡(luò)。

中國(guó)聯(lián)通網(wǎng)站