城域网安全防治及应对

　　城域网设备安全管理

　　一是城域网中的所有网络设备具备防范口令探测攻击的能力，以防止非法用户使用暴力猜测方式获得网络设备的口令信息。二是城域网所有网络设备上不必要的端口和服务应当关闭，在所有的网络设备上可以提供SSH和FTPS服务。为确保设备配置文件的安全，针对网络设备的升级操作应在本地进行，不建议对网络设备采用远程FTP方式进行升级操作。三是城域网中的网络设备应该具有登录受限功能，依靠ACL等方式只允许特定的IP地址登陆网络设备，在受信范围以外的IP地址应无法登录网络设备。四是城域数据网中所有的接入设备都必须支持SSH功能。五是网络设备针对远程网络管理的需要，应当执行严格的身份认证与权限管理策略，并加强口令的安全管理。可对网络设备的访问权限进行分级控制，例如普通权限只能查看网络设备的状态而不能改变网络设备的配置。

　　城域网安全策略部署

　　1.网络协议的安全保证。协议安全重点关注城域数据网网元间所运行网络协议本身的安全。城域网网络设备应采用安全的网络协议进行通信，利用必要的安全防护技术保证网络设备本身的安全。一是在城域网中所使用的路由协议必须带有验证功能，对于邻居关系、路由信息等的协议交互均需要提供必要的验证手段，防止路由欺骗。路由器之间需要提供路由认证功能。路由认证(RoutingAuthentication)，就是运行于不同网络设备的相同动态路由协议之间，对相互传递的路由刷新报文进行确认，以便使得设备能够接受真正而安全的路由刷新报文，所有的路由器设备应当采用密文方式的MD5或者SHA-1路由认证。二是如使用SNMP进行网管配置，须选择功能强大的共用字符串(community)，并建议使用提供消息加密功能的SNMP。如不通过SNMP对设备进行远程配置，应将其配置成只读。

　　2.访问控制能力。一是对于城域网中的网络设备，需要启用访问控制功能(ACL)，其中业务接入控制设备启用针对IP层和传输层的访问控制功能，包括基于IP层及传输层包过滤规则的控制、基于MAC等二层信息的控制、基于用户名密码的接入控制;汇聚设备启用针对MAC地址的访问控制功能。二是对城域网中的路由器、交换机等网络设备应当正确配置，并启动设备本身自带的安全功能。城域网网络设备，必须配置合理的安全访问规则，利用规则合理拒绝不应该进入城域数据网以及对网络设备自身访问的报文。三是在策略安全部署的时候，必须遵从最小化策略集的原则。最小化策略集原则指的是，针对必要的网络访问设置安全规则，而禁止未定义的访问。

　　3.接入安全。一是用户网络接入城域网可以采用静态路由或者带认证的动态路由方式。在通过路由协议接入的情况下，可以采用恰当的路由过滤功能。在业务接入控制设备上配置严格的访问控制策略以限制用户侧设备访问城域数据网业务接入控制设备，并且仅允许用户侧设备和业务接入控制设备之间进行路由交换，不允许用户侧设备对业务接入控制设备进行其他的任何访问。二是业务接入控制设备有防范针对自身的网络入侵和DoS(拒绝服务)攻击的能力;三是业务接入控制设备可对非法的突发流量进行带宽限制;四是业务接入控制设备可反向路径检查;五是业务接入控制设备可对流量数据的采集、分析和监测能力。

　　4.网络安全设备的部署。网络安全设备部署不是必需的，可以根据业务需要，综合考虑安全性价比后，在需要的网络接入节点部署网络安全设备。一是防火墙的部署:主要提供内外网隔离及访问控制;内部网不同安全域的隔离及访问控制。二是网络安全评估分析软件的部署:安装网络安全评估分析软件。利用此类软件扫描分析网络系统，及时发现并修正存在的弱点和漏洞;还可利用此类软件对用户使用计算机网络系统的进行记录的过程，以便发现和预防可能的破坏活动。三是网络安全扫描器的部署:在核心节点和网络管理中心安装网络安全扫描器，对整个网络进行安全扫描。四是入侵检测和流量清洗系统的部署:对关键节点进行安全监控，部署入侵检测系统，对网络攻击和病毒及时告警，分析异常流量，确定安全事件的性质和源头，及时采取相应措施。