NGN承載網網絡安全

2019-11-05 01:43:22

字體：大中小

來源：轉載

供稿：網友

　　NGN應考慮各個層次的網絡安全。如機房和樓道IAD的安全防盜，AG/IAD的接入認證和控制，AG/IAD的業務認證。本文僅涉及NGN承載網相關安全特性.

1.NGN承載網安全方案概略

NGN承載網采用的ip技術，與基于ATM和SDH的承載網相比，其開放性特點非常適合網絡業務的發展，但IP協議的開放性和公用性，也使NGN網絡不可避免地受到黑客或病毒程序的攻擊或干擾，面臨如用戶仿冒、盜打、破壞服務、搶占資源等安全問題。

NGN業務網與數據業務網二層隔離，形成一個相對封閉的業務網。應對所有進行NGN業務網的每一個入口進行嚴格的安全控制。

1.NGN業務網核心網絡設備（軟交換、SG、TMG）通過防火墻接入NGN業務網，防止對要害設備的網絡攻擊。

2.IAD接入端口是NGN業務網最大的安全隱患，IAD設備處于用戶端，存在被利用來惡意攻擊運營商要害網絡設備（如軟交換、信令網關、中繼網關、應用服務器）的可能性。一方面建議采用樓道IAD，通過物理安全來保證接入端口不被非法訪問，另一方面所有IAD設備都通過BAS接入NGN業務網，由BAS進行IAD的接入控制和治理。

3.數據業務網通過IP-IP網關（IMG）與NGN業務網互通，安全性很高，NGN不易受到數據業務網的攻擊。

2.NGN部件設備自身安全規格

軟交換、網關、服務器、IAD設備等NGN部件在IP網中的地位類似于網絡主機設備，因此要求軟交換、網關、服務器、IAD設備應具備數據網中主機設備所具有的安全規格，如用戶登錄治理、網管安全等。

3.BAS網絡安全控制的特性

3.1用戶治理

用戶治理包括物理端口治理和IAD/AG設備認證，IAD/AG通過BAS完成接入認證，再與軟交軟交互完成業務認證。BAS通過物理端口和二層標識（VLAN和PVC）作為用戶的標識，使無運營、無治理的寬帶接入網成為可運營、可治理的電信級網絡。

1、在策略服務器（PS）和BOSS/OSS配合下，可實現局端電話控制業務，可隨時根據用戶的交費、開戶和安全（如流量異常）等情況，迅速激活或關閉用戶，不需要在物理線路上或親自到用戶端進行操作。

2、BAS對IAD設備進行認證，通過靜態或動態IP+VLAN+MAC綁定，實現用戶過濾，防止地址盜用；

3、可以限制VLAN下接入的IAD數目，防止假冒用戶的惡意攻擊，保護網上要害資源，防止非法用戶發起攻擊，耗盡DHCP服務器地址資源，使合法IAD用戶不能獲得地址，通過log或告警信息進行攻擊追查；

4、通過實時計費等功能，可以對每個IAD的流量信息進行統計，用作業務和網絡分析，檢測是否有異常流量等情況。

3.2用戶信息隔離

在城域接入層采用一層/二層隔離技術隔離用戶和業務，保證用戶之間信息的隔離。IAD通過二層隔離技術接入BAS，由BAS通過靜態防火墻（ACL）控制IAD之間的互訪或IAD對NGN其它設備的互訪。

3.3動態防火墻

動態防火墻的原理與3.2.4動態QoS策略類似，通過承載網對NGN業務的感知來實現動態安全策略。IAD初始接入時，BAS為IAD設置初始ACL，只能訪問軟交換。IAD向軟交換發起呼叫，策略路由器（PS）通過與較交換的交互IAD呼叫信息，獲知被叫IAD的IP地址及端口號，動態向BAS下發安全策略，從而實現主被叫的互通。

上一篇：NGN定義

下一篇：NGN：標準研究滾滾向前