内外兼修才安全

电力IP城域网面临的主要安全挑战包括：

城域网内部安全和城域网边界安全。

究竟该如何构建电力IP城域网的安全体系？

目前，城域网已经进入成熟稳定的发展时期，基于城域网的数据业务应用在社会经济生活中的地位日益重要，但城域网的发展也面临着网络病毒泛滥、DoS攻击、广播包等大量的安全问题。

相对于电信、教育等行业来说，电力城域网建设起步时间相对稍晚，但电力行业的业务有其特殊性和重要性，对于提供承载服务的基础网络平台要求非常高，因此电力IP城域网从一开始就按照高标准、规范性、技术适用的要求进行建设。

伴随着电力IP城域网的建设，网络安全的问题也必将越来越突出，如何设计一个稳定、可靠、安全和经济的城域网，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为电力行业信息化建设所关注的重点。

电力IP城域网面临的主要安全挑战包括：城域网内部安全和城域网边界安全。

城域网内部安全

城域网的内部安全根据实现城域网的网络技术特点，通过MPLS VPN、网络设备安全管理、路由认证、应用服务协议安全等安全手段，实现电力IP城域网的内部安全。

电力行业的业务应用既需要通过网络实现互联，同时不同业务之间需要在网络上安全隔离，如果为每种业务单独组建一个物理网络，那么网络的基础建设成本将足一个天文数字，而且这么多网络的维护和管理。也将与通过信息化建设节约运营成本的初衷相违背。因此．通过VPN技术，在一个物理网络上虚拟出多个逻辑私有网络，为不同的业务提供承载服务，就成了必然之选。

目前已经证明MPLS VPN技术是IP城域网建设的最好选择，由于MPLS VPN在骨干网中使用LSP隧道进行标签交换，较之普通的IP转发具有更好的安全级别。它具有天然的安全特性，不同的VPN用户之间由于无法获知对方的路由信息，从而可以理解为存在于不同的私有网络之中。

根据电力业务的需求，在电力IP城域网上通过MPLS技术划分多个业务VPN，确保不同业务之间的设备无法获知对方的路由信息。在同一种业务中通过合理设置．可以保证即使是相同的业务，如果没有互访需求。也无法相互访问。

通过设备访问的控制以及SNMP协议安全，有效地实现对电力IP城域网中数量众多的网络设备进行安全管理。

路由认证就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。

可以根据路由协议的不同而设计，路由协议的加密可以防止路由协议更新包的欺骗和伪造，从而保证全网路由的可靠性。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。

RIPv2、OSPF、BGP4路由协议支持MD5路由认证，而IS-IS只支持基于明文的路由认证。

网络设备的某些应用服务协议或是与网络运行无关，或是对网络运行有危害，或是协议本身有安全缺陷，如果这些特性被恶意攻击者利用，会增加网络的危险。因此，网络设备应严格限制或关闭这些协议。如限制ICMP协议、NTP协议，关闭finger服务、IP源路由、IP重定向、定向广播报文转发、TCP/UDP小端口服务等。

城域网边界安全

在解决IP城域网安全问题中，城域网的边界安全非常重要，几乎所有的数据流都来自于或流向于城域网的边界。目前解决城域网边界安全的主要技术包括：防火墙；入侵检测；网络流量分析――对边界不同类型的业务流进行准确的流量和流向分析与计量。

防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

电力IP城域网需要与省级电力骨干网互联，随着各种应用业务的投入使用。地市访问省数据中心的数据量将会日趋增多，而且全省统一Internet出口，这也造成地市城域网对省级骨干网访问的数据量非常庞大。

通过在电力IP城域网与省级电力骨干网之间部署防火墙，可以有效地进行隔离网络、防御黑客攻击、隐藏内部网络，保护内网用户以及重要的应用资源、内外网用户的访问控制等。

但是，防火墙技术无法100％保证电力IP城域网的安全。它无法识别、阻止内部网络的入侵行为，无法控制不流经它的网络行为，因此应该采取辅助的入侵检测技术来弥补防火墙技术的缺陷，更好地确保电力IP城域网的安全。