关于铁通专网软交换系统安全方案研究
摘 要:对专网软交换系统安全问题进行了深入分析,简要说明了网络安全问题的解决策略,提出了解决系统安全问题的方法,分析了各网络安全域面临的安全风险,并对软交换系统实施中各网络域安全性解决方案进行了说明,从网络安全和设备安全两方面给出了核心网络域的安全策略和网络安全实施方案。
关键词:软交换;网络安全;安全域
引言
目前,IP网络已经普遍被认为是下一代网络的核心,是下一代网络的主要承载技术。但是,这种承载着多种业务的IP网络,有别于传统的Internet或企业局域网路,由于IP技术与生俱来的自由基因与电信产业的严谨作风存在着深刻的矛盾,如何解决安全和QoS是两个最根本的问题,提供不低于传统电话网络的安全等级,才能确立IP技术在承载网的主导地位。
1.网络安全问题解决策略
对IP网络安全问题的讨论是以传统电信网络为参照的,对于能够提供不低于或者接近传统电信网络的安全等级,即认为是安全的。
解决软交换系统安全问题一方面加强软交换系统核心设备软/硬件的安全性设计,采用备份冗余机制,另一方面采用隔离的方式,将软交换系统核心网络与外部隔离开来,提高核心设备防御外部攻击的能力。这其中隔离是软交换系统部署中解决系统安全性的重要手段。
2.网络安全域划分
软交换网络由大量网络设备、软交换终端以及运维、网管设备等组成,网络侧及运营、网管设备一般由专人管理和控制,安全性有一定的保障,而终端设备则位于用户侧,安全性毫无保障,软交换网络的安全需要将网络划分为不同的安全域,针对不同的安全域给出合适的安全方案。可以分为如下3种:
(1)安全级:该网络区域是安全的,该区域被攻击的可能性很小;
(2)信任级:该网络区域是不安全的,但可通过组网方式构建一个相对安全地信任区域;
(3)非安全级:该网络区域是不安全的,需要通过软交换网络特定的安全措施来保证安全性。
按照软交换网络设备和用户终端在软交换网络中所处的位置以及所具有的不同安全等级将软交换网络分解成多个安全域,通过将软交换网络划分为不同的安全域,以及明确不同的安全域的特点和要求,提供有针对性的安全解决方案。专网软交换安全域划分如图1所示。
如图1所示,专网软交换系统可划分为下列5个网络域:
(1)核心网络域:网络域包括软交换网络的核心部件设备及网管等运维设备,是软交换网络安全保护的重点,安全性取决于实际网络中的组网情况,对应的安全级别为信任级;
(2)窄带PSTN网络域:窄带PSTN 网络域即现有的SCN/IN/STP网络,安全性是最高的,对应的安全级别为安全级;
(3)PSTN用户接入域:由于接入方式为窄带接入,所以,该域和窄带PSTN网络域相同为安全级;
(4)局域网IP用户接入域:该区域的安全性通常无法得到保证,安全级别为非安全级;
(5)广域网IP用户接入域:该域显而易见的是无安全保证的区域,该区域对应的安全级别为非安全级。
3.各网络域安全策略
3.1核心网络域
网络域的安全需要网络安全技术作为基础,并以设备的安全和可靠性为补充,共同来保证。
核心网络域处于信任级,该域要求避免受到来自网络层和应用层报文的攻击,需要在网络域和其相邻域之间部署防火墙设备。
由于核心网络域的设备为系统提供了核心的业务,为了避免某个设备的故障影响整个网络的正常运作,该域的设备需要从设备组网和设备本身2个方面考虑业务的安全性。
3.1.1 核心网络域承载网安全策略
(1)承载网的安全核心-----隔离
在技术能力不足以满足要求的情况下,采用物理专网模式或逻辑专网模式组网隔离往往是最有效的策略。物理隔离,指的是新建专网的核心网承载软交换业务;逻辑隔离是指采用VLAN、VPN等技术,从逻辑上将软交换业务同其他业务隔离。在应用中,根据业务要求,选择合适的组合组网模式。核心网络域物理和逻辑隔离方法如图2所示。
(2)承载网安全的保证-----冗余
核心的IP网建设建议采用全网状、半网状的互联组网,要求路由具有备份功能,边缘路由器和网关设备通过双归属的方式跟核心骨干网互联。
核心层双平面组网,平面内采用全网状连接,A、B平面间设置高速通道,A、B平面的设备及链路采用全对称设计,单一平面按照承载全业务量设计。
骨干层全网、半网、环网组网,任何两个路由器之间都有冗余的若干条通道,防止某一个路由器或者链路故障对网络业务造成影响。
为了保证网络的安全和可靠性,可以考虑如下4个方面技术实现:
(1)通过网络设计,采用节点设备间对称连接、备份路径预先设定,为快速切换提供网络拓扑基础;
(2)采用节点间部署快速检测机制APDP/BFD,迅速检测链路和节点故障;
(3)通过IP/LDP/TE FRR技术切换到预先设定的备用链路,无需路由协议收敛重新选路;
(4)切换结束后,通过IGP快速路由收敛到已经切换的链路。
3.1.2 核心网络域设备级安全策略
软交换采用双归属组网,该方案能实现倒换不断话,话单不丢失。
电信级硬件平台、双电源供电,双组风扇散热、双机箱管理,所有单板负荷分担或主备用,所有单板热插拔、设备支持双网口主备用。
完善的机箱管理功能,保证整个机箱正常工作,及时发现机箱故障,完备的机箱告警内容及快速的故障恢复机制。
主备用数据库,主用库在配置过程中出现错误的情况下快速切换到备用数据库,对备用数据库的修改不会影响到正在使用的主用数据库。
多级别负载控制,在业务承载能力达到极限时保证重要业务的安全提供。
完备的协议安全机制:SCTP协议保护机制保证SCTP偶连的安全性,H248、MGCP IPSEC加密、SIPDIGEST鉴权及信令加密、完整的H.235鉴权加密,媒体流SRTP加密传输。
一对信令网关(Signaling Gateway,SG)实现负荷分担、链路互动,保证可靠的信令转接;将每个信令网关分别配置在软交换机的两个中继组中,采用信令组的冗余机制合理使用2个信令网关。
为了防止用户终端设备直接访问核心设备,需要增加SBC对语音业务做代理,同时SBC设备冗余部署、采用防火墙对SBC加以保护。
3.2 IP用户接入域
用户接入域位于安全级别最低业的用户终端网。由于需要为用户提供接入功能,所有的用户都可以访问到该域的网络,该域的网络处于安全程度最低的非安全级。
SBC接入用户,通过SBC将众多的电话用户和软交换机隔离开,并实现多
种功能,包括私网话音用户接入、提高业务QOS等等。SBC设备可冗余部署。
IPSEC VPN接入,对通过Internet接入的单位或者个人,可以采用VPN的方式接入总部的VPN服务器,建立于总部之间的VPN加密隧道来保证信令和媒体的安全。
3.3 窄带PSTN网络域
窄带网络域在软交换网络安全域模型中属于安全区域,不存在突出的安全性问题。
4.结束语
目前,软交换技术日臻成熟,专网软交换逐步推广,因此,研究和解决其安全问题将有助于其在特殊领域的推广和应用。
参考文献:
[1] 万晓榆,樊自甫,宗晓飞.下一代网络安全技术[M],北京:人民邮电出版社,2007.
[2] 陈世康.NGN网络安全模型分析[J].通信技术,2009(10):79-80.