郭斌

目前网络安全问题日益突出，其原因在于电信运营宽带城域网发展迅速。一些较为常见的安全问题已经能在BAS/SR设备上解决，常用手段有传统IP地址欺骗、ARP欺骗等。而尚未解决的安全问题，已经严重干扰宽带城域网的运行和业务发展，比如DDOS攻击、垃圾邮件、低俗网络等，并影响社会的良好运行，因此宽带城域网的安全建设已经迫在眉睫。

【关键词】宽带 城域 安全 建设

1 宽带城域网安全模型

信任域、非信任域以及隔离域共同组成宽带城域网安全模型。信任域作为基础网络，隶属于运营商，和电信业务网相互分离，防火墙是常被运用的设备，信任域有多种类型，如支撑系统、网管系统、智能业务平台等。非信任域是基础网络，也隶属于运营商，为客户服务，主要应用于接入和业务，且是Internet网络的组成部分，主要设备有基础用户接入、数据交换以及媒体网关，该网络有时会脱离互联网的控制。隔离域作为平台目的在于实现信任域和非信任域的数据交互，该业务平台种类较多，有web服务平台、ftp服务器、dns服务器等等。信息传输的基础是非信任域，作为基础网络，是城域网中的主要组成部分，起到很大的作用，因此，在安全模型的建立过程中，应当对非信任域予以重点考虑。

2 宽带城域网安全分析

2.1 信任区域的安全

信任域的安全性较为关键，是宽带城域网运用的重点，因此为保障其安全，应当采取相应的措施。一般情况下，信任域会受到多种攻击，如网络攻击、网络入侵以及病毒等。为保证信任域的安全，可以采用如下方式。第一，对防火墙予以部署，保证安全访问策略的严格性，对此区域的访问进行严格限制。第二，在系统软件和应用软件的挑选上予以严格限制，且予以配置，对操作系统和应用系统的漏洞和补丁情况予以关注，同时对进展情况予以监测。同时对系统和应用的服务对象范围予以界定。第三，对网络入侵监测系统予以关注，且进行部署，重点的监控对象是核心服务，若发生网络攻击和病毒，可以及时警报。第四，坚持完善网管系统，同时完善日志系统。第五，在处理主机系统问题上，应当运用双机热备份方式，同时应用系统和数据的备份工作也应当做好，且还应根据具体情况，进行需要设定，对系统工作予以恢复。

2.2 隔离域的安全

隔离域的作用在于能够连接宽带城域网和对外业务服务，业务应当具有足够的对外开展空间，才能使安全的威胁降到最低，此时该域也是最容易受到破坏的部分。为实现安全性保障，可以采取以下措施。第一，对防火墙予以部署，保证安全访问策略，其中分布式拒绝服务攻击应当予以重视。第三，对服务器的安全漏洞予以修补，拒绝接入不必要的网络服务。第三，同时做好系统和日志的备份工作。

2.3 非信任域的安全

作为传输网络，非信任域和用户的接入和业务直接相关。但是非信任域容易受到攻击和不同病毒，其安全性存在重大威胁。主要可以从以下三个方面进行阐述，第一，网络设备的系统资源将会增大网络攻击和病毒攻击，造成CPU处理能力降低，形成网络故障，导致用户的报文丢失。第二，攻击和病毒会导致资源消耗，如若采用TCP连接数资源，会对网络服务器产生重大影响，且大大影响NAT设备。第三，对设备访问控制过程中，黑客的攻击性应当受到重视。目前为止，针对信任域和隔离域，已经逐渐采取了安全措施，同时宽带城域网对非信任域的安全问题应当予以重视，尤其在城域承载网的安全建设问题上。

3 宽带城域网安全建设及常见故障处理方案

3.1 防DDOS攻击网络部署方案

根据笔者的相关经验，认为防DDOS攻击网络部署方案，可以从以下四个方面着手。第一，建立专门的清洗中心，将核心路由器予以盘挂和直挂，通过静态的方式对指定流量予以防护，同时清洗设备还能够对异常流量进行清晰，将该用户端纳入保护范围。在本方案中，有不少优点，主要有部署简单、成本不高等优点，且对用户进行特定保护的过程中，需要做好深度、实时检测和清洗工作，此时不会造成延迟防护，会产生比较好的效果，但也有不好之处，比如，静态防护需要一定容量的清洗设备，且随着流量的扩大，容量也增大，所以如果选择直接部署方式，清洗设备的量将会成为清洗限制，因此这种方式一般较为适合小型网络，对清洗流量要求不高。第二，同样建立新的清洗中心，对进行城域网流量进行探讨和分析，利用Netflow工具， 同时将该清洗中心在核心路由器上进行盘挂。对攻击流量进行检测，通过设备的自动下发引流策略，一直到达核心路由器设备，且将异常流量进行清洗，在清洗完成之后，还可以将流量进行回注。本方式的优点同第一种方式一样，在成本上都消耗比较少。主要应用的区域是大型城域网以及IDC网络，同时应当做好部署Netflow工作，其性价比都比较高。但也有缺点存在，因为Netflow技术并非十分成熟，技术上仍有瓶颈存在，因此在检测攻击时，会造成比较大的时间延误，同时对采集有一定的要求，针对应用层进行攻击识别，打那时其缺点在于不能识别小流量攻击。此外，还可以通过DPI 深度报文全流量检测对进入城域网流量分析以及针对宽带组建专门建立VPN。

3.2 防止垃圾邮件安全方案

在宽带城域网中，垃圾邮件的数量很多，要对该问题进行根治，需要做好几方面的工作，比如对个人素质和意识进行提升是非常重要的方面。就目前来看，垃圾邮件对人们的生活造成了非常大的影响。主要表现在两个方面，一是大量的垃圾邮件接收，使得用户不能正常使用邮件，第二，网内用户在向外发送垃圾邮件的过程中，一些无辜的用户会被国际反垃圾邮件组织列入黑名单。笔者认为要解决以上两个问题，可以从以下两个方面入手，第一，通过选择比较稳定的企业邮局系统，一个好的邮件胸膛呢，对整个垃圾邮件而言具有较好的控制能力，同时功能还较为齐全。此时，通过对反垃圾邮件引擎的设置，以及设置相应的规则，对该问题予以规制，从而在最大程度上对垃圾邮件予以控制。第二，在目前的城域网中加入一些反垃圾邮件的功能，主要的设备部位在后端系统功能模块中，分析对象是用户数据，同时如果发现大批量的相同邮件发送的情况，可以将该邮件的转发进行限制。endprint