城域网安全建议

申请免费试用、咨询电话：400-8352-114

安全是城域网基础设施必备的一部分内容，将信息安全要求纳入城域网的建设，也是保障城域网正常运营非常重要的一个环节。

威胁城域核心网安全的风险，主要表现为核心设备遭受攻击或病毒引发网络流量激增，进而对设备性能产生冲击。

核心交换层由核心交换节点构成，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与全国骨干网络的互联，提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。

从技术上，建议对核心交换设备应采取的安全措施包括：

无阻塞交换，QoS保障

核心交换机应采用高背板的交换设备，要有足够的带宽来保证大量业务流进行快速数据交换，采用队列、整形等QoS技术来达到重要数据流的无拥塞转发，要避免流Cache模型造成系统崩溃。

设备及链路的冗余备份

系统出现软硬件故障时，可迅速切换到备用模块；采用STP技术进行链路备份，来增强可靠性；核心交换设备是整个城域网的心脏，所以要具有高可靠性，一般都采用多台交换设备互备，并采用双引擎、双电源、双链路的备份方式。原则上要求核心节点间采用网状或半网状连接。

多级安全密码体系，服务和协议安全，审计日志系统
避免采用简单的密码体系，应采用多层的、复杂算法的密码体系。不必要的服务和协议一定要关掉。以SNMP协议为例，在不用SNMP网管协议时一定要把它关掉，SNMP给我们管理大型网络带来了方便，同时它也是双刃剑，给黑客攻击带来了方便；如果必须用网管协议，则必须用SNMP V3 ，它具有MD5加密的功能。

保证网络设备具备审计信息发送、查询、统计等功能；进行设备日志的配置，记录和观察网络的运行情况，来进行信息跟踪。

路由协议稳定性和冗余性，路由认证和路由过滤

防止城域网用户路由的抖动影响广域骨干网的运行，IP城域网一般以单独AS自治域的形式与广域骨干网相连；路由要进行汇总，来减少路由表的数目，从而减少子区域路由变化对其他区域的影响，提高路由转发的速度和路由的稳定性；要保证路由失效时有多条路径可选择，防止单路由或单节点的失效造成全网中断的情况发生。

用安全的路由和网络协议，选用具有MD5加密功能的路由协议进行加密，各个路由区域之间要进行访问认证，来保证路由协议的安全；不同路由协议之间进行路由策略控制，路由过滤可以控制路由更新只发往特定网络，以及接受从特定路由器接口发来的路由，防止虚假路由进入核心网络。

广播抑制“Broadcast Limit”

利用城域网骨干设备的“Broadcast Limit”特性可以限制每秒通过设备的广播流量，根据需要来对广播包数量进行手工控制，从而将广播风暴的影响降到最低；交换机可以统计其端口每秒收发的字节数，当超过指定的最大速率，则端口丢弃所有后来超过的那部分。

抗DoS攻击防范措施

抗DoS攻击是把攻击流量迁引到抗DoS攻击设备——1000M黑洞，通过黑洞过滤后再把正常访问流量通过专门的TUNNEL返回服务器。

来源：CCW