有效提高宽带城域网安全性

摘 要 本文主要讨论如何有效的提高宽带城域网安全性与稳定性，文中还列举了部分严重影响宽带城域网正常运行的网络安全问题，并介绍部分提高网络安全，防范网络攻击行为的策略与方法。

关键词 城域网；网络安全；DOS；流量清洗

中图分类号TP39 文献标识码A 文章编号 1674-6708（2011）50-0216-03

0引言

随着互联网的日益普及，人们通过网络来查找资料、交流信息，对企业而言网络更是占有举足轻重的地位，电子商务得到了飞速的发展。但是由于互联网本身所具有的开放性与设计缺陷，使其极易受到攻击，用户轻着网络瘫痪，重着企业敏感信息丢失，蒙受巨大经济损失。网络攻击行为也为运营商网络的正常运营带来了巨大压力，当攻击行为大面积爆发时造成网络拥塞，无用信息占据了网络的大量带宽，网络传输时延、丢包率、差错率明显上升，对用户的服务质量显著下降。因此，熟悉了解网络攻击并进行有效的防护，对提高网络质量有重要意义。

1 提高城域网核心、汇聚层设备的安全性

1.1 提高设备自身基本稳定性方法

1）服务进程安全：要求遵循最小化服务原则，关闭网络设备不需要的服务；

2）远程访问管理安全：建议使用集中认证、单点登录等方式控制维护人员远程访问；

3）设备关键资源保护：利用设备的自身安全特征，提高设备的安全水平，保护路由引擎CPU 资源；

4）密码管理安全：不允许使用缺省配置的用户和口令，口令必须进行加密；

5）完善设备网管，提高网管安全：建立统一网管平台，采用集中监控，注意设备流量情况，及时处理告警；仅允许授权网段访问路由器的SNMP 服务；尽量使用SNMP 3.0，community 属性设置为只读；

6）设备安全审计：设备必须启用日志，记录中高风险事件，并对高风险事件产生告警，定期对设备日志进行审计。

1.2 路由器安全性与可靠性提升

路由器是城域网中的主要设备，城域核心路由器主要完成IP业务的交换及路由选择，并通过高速端口与主干网络相连；汇聚路由器完成业务的汇聚，提供流量控制和用户管理功能。因此必须对路由器设置进行合理规划、配置，采取必要的安全保护措施，避免因路由器自身安全问题而给整个网络带来漏洞和风险。

1）限制动态路由开启端口，为路由器间的协议交换增加认证功能

路由器重要功能是路由的管理和维护，目前网络一般采用动态的路由协议，城域网常用的有：OSPF、IS-IS、BGP等。当路由器设置了相同路由协议与区域标示符加入网络后，会学习网络上的路由信息表，可能导致网络拓扑信息泄漏，同时也可能由于用户设备向网络发送自己的路由表，扰乱网络正常工作的路由表，严重时可以使整个网络瘫痪。解决办法是限制动态路由开启端口，同时对网络内的路由器之间的路由信息交换进行认证，避免外部设备干扰网内路由。

2）保护路由器设置口令

路由器配置文件密码即使是加密形式存放，仍存在被破解的可能，一旦密码泄漏网络将毫无安全可言，因此应该妥善保存设备配置文件，定期更新设备密码。

3）阻止察看路由器诊断信息

4）推荐的路由器安全性设置

（1）关闭Cisco设备发现协议（CDP服务）

CDP使用OSI二层协议来查找邻居设备的信息：设备平台、操作系统版本、端口、IP地址等，不过CDP有1个缺陷：它对所有发出相应请求的设备都进行应答，可以用命令： no cdp running或no cdp enable关闭该服务。

（2）管理HTTP服务

许多设备允许使用WEB浏览器进行配置和监控，在不必要时应关闭设备HTTP服务，如果必须使用HTTP服务，严格控制允许访问的IP地址，同时设定授权限制。

（3）管理ntp服务

路由器使用ntp服务来进行时间同步，当使用ntp服务时，应当使用MD5算法来认证ntp数据包发送者，不使用的话应当关闭ntp服务。

（4）关闭UDP/TCP/Finger服务

（5）部分危险ICMP报文的处理

IP unreachable与ICMP redirect报文常被DOS攻击利用，路由器外部接口应关闭对上述报文的处理与响应。

（6）阻止路由器接收带源路由标记的包，将带有源路由选项的数据流丢弃

（7）关闭路由器定向广播

1.3 宽带接入服务器BRAS安全性与可靠性提升

BRAS 是宽带网络重要的设施，负责终结用户的PPPoE连接，完成用户认证计费；应该采取相应的措施提高BRAS 的安全性和可用性。

2 利用冗余设计避免单点故障大容量的BRAS能提供冗余设计，应充分利用冗余特性提高设备稳定性

1）在关键部件的配置上，如主控与交换单元进行1+1 热备，设备电源双路供电；

2）设备满足在主控板热切换时，用户不重拨，业务不中断，用户无感知；

3）通过同一业务板不同端口捆绑或不同业务单板上的端口捆绑，保证用户接入的可靠性；

4）在设计和规划上，BRAS 应提供双上行至城域网核心设备，上行端口双归属等价路由，实现链路备份和负载均衡。

3 利用BRAS 自身的安全特性提高设备的安全性，尤其重要的是保护BRAS 主控板CPU 资源

1）主控板应启用资源保护的能力，能识别进入主控板的异常流量，并能阻塞进入主控CPU 的异常流量。

2）严格限制对BRAS的远程登录管理，限制用户访问管理地址段；

3）在输入端口对广播包数量进行限制（广播包阈值的设置要考虑PPPOE接入的影响）；

4）Port Security 防范CAM 攻击；5）根据BRAS 容量和宽带应用的实际情况，预留流量攻击所消耗带宽，调整BRAS 并发用户数。

4提高LAN PPPOE 接入的安全性

公众用户主要采用PPPOE接入方式，提高PPPOE接入的安全性能够有效提高整个城域网的安全与稳定性：

1）细化Vlan 划分，控制单个Vlan 的用户数，尽量采用端口隔离技术（PVlan和UpLink）隔离，避免同一VLAN 用户相互干扰；

2）如BRAS 支持QINQ功能，并且二层网络允许，建议采用QINQ配置；

3）实施广播包速率限制（broadcast-limit），防止小区用户对宽带接入服务器和汇聚层实施二层DOS 攻击；

4）针对虚假BRAS干扰LAN PPPOE 用户正常接入情况，应充分利用设备支持的安全特征 （如PVlan 配置和UpLink 端口隔离配置）加以控制；对于不支持该安全特征的设备，可采取定期扫描的方式，及时屏蔽干扰设备。

5 Sniffer介绍与防御

5.1 Sniffer 介绍与原理

Sniffe是一种威胁极大的被动攻击工具。使用这种工具，可以监视网络状态、数据流动的情况以及网络上传输的信息。当信息以明文的形式在网络传输时，便可以使用这种方式来进行侦听。当黑客成功控制了一台主机后，他常常会在其上安装Sniffer，对以太网设备上传送的数据包进行侦听，以发现重要的信息，为进一步入侵准备。

5.2 Sniffer监测与防御

由于Sniffer是一种被动攻击工具，发现一个Sniffer是很困难的，但仍然有办法抵御它的嗅探。首先，应该对重要信息进行有效的加密处理后再进行传输，这样即使黑客通过Sniffer捕捉到了数据包，也无法解密。其次使用安全的网络拓扑结构，路由器、交换机都能够有效的隔离网络广播，使用交换机对用户进行有效VLAN的划分可以防止Sniffer的非法的侦听，提高网络安全性。

6拒绝服务（DoS）的介绍与防御

6.1 拒绝服务介绍

“拒绝服务”是一种简单的破坏性攻击，攻击者利用TCP/IP协议中的弱点或系统安全漏洞，对目标发起进攻，致使攻击目标无法对合法用户提供正常的服务。

6.2 拒绝服务的防护

1）为了防止接入路由器成为DoS攻击的广播放大器应在接入路由器接口上使用：no ip directed-broadcast；

2）采用访问控制列表对所有进出流量进行过滤，过滤掉源地址为私有和保留的IP包，同时让路由器进行ICMP相反路径校验，丢弃那些没有路径存在的包，防止源IP地址欺骗；

3）参照RFC 2267，使用访问控制列表（ACL）过滤进出报文，过滤掉源地址为私有和保留的IP包，同时让路由器进行ICMP相反路径校验，丢弃那些没有路径存在的包，防止源IP地址欺骗。

参考以下例子：{ISP中心} -ISP端边界路由器 - 客户端边界路由器 - {客户端网络}

ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。

1）采用CAR（Committed acces rate 承诺访问速率)来对ICMP数据风暴进行限制。先利用访问控制列表对数据包进行分类，定义ICMP数据流，然后利用CAR有选择的进行数据流量的限制。

2）对SYN包进行管理与控制。如：可以先查出正常状态下的SYN流量，从而使用CAR来对 SYN流量进行管理与限制，同时还可以在接入路由器上采用TCP拦截来防御SYN攻击。

启用接入路由器的日志功能，以便于查找Dos攻击源。

流量清洗系统的使用:

（1）流量清洗系统介绍

流量清洗系统主要是针对网络发生的DOS/DDOS攻击进行有效的监控、告警和防护，系统对进入保护网络的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量，在不影响正常业务的前提下清洗掉异常流量，有效提升网络安全性与健壮性。

（2）流量清洗系统通常部署在宽带城域网出口，整个系统由三部分组成：异常流量检测平台、异常流量清洗平台和业务管理平台。系统工作过程主要分为三个步骤。第一步，利用专用的检测设备对用户业务流量进行分析监控。第二步，当用户遭受到DOS/DDOS攻击时，检测设备上报给专用的业务管理平台生成清洗任务，将用户流量牵引到流量清洗中心。第三步，流量清洗中心对牵引过来的用户流量进行清洗，并将清洗后的用户合法流量回注到城域网，同时上报清洗日志到业务管理平台生成报表。

7网络病毒防御

7.1 网络病毒介绍

目前对网络设备影响最大的主要是蠕虫病毒，蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导致服务不可用；二是占用CPU资源，导致宕机。红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网络出口堵塞。

7.2 使用路由器应用识别技术来防御网络病毒

可以利用路由器基于网络的应用程序识别和访问控制列表来有效防御网络病毒。Cisco NBAR（Network-Based Application Recognition）是一种网络应用识别技术，能动态在ISO四到七层寻找协议，它不但能想普通ACL那样控制静态的、简单的网络应用协议，也能完成一般 ACL做不到的动态端口协议的控制，例如 VoIP中的H.323, SIP等。

8超负荷下载BT的介绍与防御

8.1超负荷下载BT的介绍

BT是一个 自由的下载工具，用类似电驴的方式，不像 FTP 或者 P2P 软件那样只有一个发送源，而是所有正在下载某个文件或者已经下好了某个文件但还没有把下载窗口关闭的人都是发送源。下载的人越多，下载的速度也越快，这使得 BT 有 FTP 和传统 P2P 不可比拟的速度优势，但同样也需要下载的人能自觉的继续提供文件给别人下载。BT 的文件扩展名是 .torrent ，很小，一般几十K,方便传播。这个文件里面存放了对应的文件的描述信息、该使用哪个 Tracker、文件的校验等信息。

8.2 超负荷下载BT的防御

1）使用路由策略方法

正常网络访问中，都是通过数据包来进行的。以太网络中包大小为64-1518BYTE，可正常情况下，包都不会太大，因为没有更多的数据需要传输。但进行BT下载时，大量的数据需要传输，每个包几乎都到达长度极限，因此，当我们有意识的对包长度进行过滤，既避免了网络中BT下载占用大量网络带宽，又保证用户正常使用网络。然后，把这个策略应用于接口。当然了，这个长度范围可以调整以不影响正常业务为宜。

2）使用Cisco的NBAR方法

要使用Cisco的NBAR实现对 BT 流量的控制，就要在Cisco路由器上实现对 PDLM 的支持。 PDLM 是 Packet Description Language Module 缩写，是一种对网络高层应用的协议层的描述。它的优势是让 NBAR 适应很多已有的网络应用，像 HTTP URL ， DNS ， FTP, VoIP 等 , 同时它还可以通过定义，来使 NBAR 支持许多新兴的网络应用。PDLM 在思科的网站上可以下载，并且利用 PDLM 可以限制一些网络上的恶意流量。 首先通过 TFTP 服务器将 bittorrent.pdlm 拷贝到路由中，然后用 ip nbar pdlm bittorrent.pdlm 命令将 NBAR 中的 BT 功能启动，再创建策略并且应用到相应的路由器的接口上。

9结论

只要网络自身存在缺陷，网络攻击就会存在下去。随着网络安全问题的日益突出，如何保障网络畅通，提高网络安全，有效防御与避免网络攻击，将成为一个日益受关注的课题。

参考文献

[1][美] Sharma,R.K著.《Cisco Security Bible》.

[2]华为公司.城域网安全加固及流量清洗安全解决方案.

[3]Http://.