前言：本站為你精心整理了城域網(wǎng)安全防治及應(yīng)對(duì)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

本文作者：彭小英黃大倫韋海清作者單位：廣西英華國(guó)際職業(yè)學(xué)院

城域網(wǎng)設(shè)備安全管理

一是城域網(wǎng)中的所有網(wǎng)絡(luò)設(shè)備具備防范口令探測(cè)攻擊的能力，以防止非法用戶使用暴力猜測(cè)方式獲得網(wǎng)絡(luò)設(shè)備的口令信息。二是城域網(wǎng)所有網(wǎng)絡(luò)設(shè)備上不必要的端口和服務(wù)應(yīng)當(dāng)關(guān)閉，在所有的網(wǎng)絡(luò)設(shè)備上可以提供SSH和FTPS服務(wù)。為確保設(shè)備配置文件的安全，針對(duì)網(wǎng)絡(luò)設(shè)備的升級(jí)操作應(yīng)在本地進(jìn)行，不建議對(duì)網(wǎng)絡(luò)設(shè)備采用遠(yuǎn)程FTP方式進(jìn)行升級(jí)操作。三是城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備應(yīng)該具有登錄受限功能，依靠ACL等方式只允許特定的IP地址登陸網(wǎng)絡(luò)設(shè)備，在受信范圍以外的IP地址應(yīng)無法登錄網(wǎng)絡(luò)設(shè)備。四是城域數(shù)據(jù)網(wǎng)中所有的接入設(shè)備都必須支持SSH功能。五是網(wǎng)絡(luò)設(shè)備針對(duì)遠(yuǎn)程網(wǎng)絡(luò)管理的需要，應(yīng)當(dāng)執(zhí)行嚴(yán)格的身份認(rèn)證與權(quán)限管理策略，并加強(qiáng)口令的安全管理。可對(duì)網(wǎng)絡(luò)設(shè)備的訪問權(quán)限進(jìn)行分級(jí)控制，例如普通權(quán)限只能查看網(wǎng)絡(luò)設(shè)備的狀態(tài)而不能改變網(wǎng)絡(luò)設(shè)備的配置。

城域網(wǎng)安全策略部署

1．網(wǎng)絡(luò)協(xié)議的安全保證。協(xié)議安全重點(diǎn)關(guān)注城域數(shù)據(jù)網(wǎng)網(wǎng)元間所運(yùn)行網(wǎng)絡(luò)協(xié)議本身的安全。城域網(wǎng)網(wǎng)絡(luò)設(shè)備應(yīng)采用安全的網(wǎng)絡(luò)協(xié)議進(jìn)行通信，利用必要的安全防護(hù)技術(shù)保證網(wǎng)絡(luò)設(shè)備本身的安全。一是在城域網(wǎng)中所使用的路由協(xié)議必須帶有驗(yàn)證功能，對(duì)于鄰居關(guān)系、路由信息等的協(xié)議交互均需要提供必要的驗(yàn)證手段，防止路由欺騙。路由器之間需要提供路由認(rèn)證功能。路由認(rèn)證(RoutingAuthentication)，就是運(yùn)行于不同網(wǎng)絡(luò)設(shè)備的相同動(dòng)態(tài)路由協(xié)議之間，對(duì)相互傳遞的路由刷新報(bào)文進(jìn)行確認(rèn)，以便使得設(shè)備能夠接受真正而安全的路由刷新報(bào)文，所有的路由器設(shè)備應(yīng)當(dāng)采用密文方式的MD5或者SHA－1路由認(rèn)證。二是如使用SNMP進(jìn)行網(wǎng)管配置，須選擇功能強(qiáng)大的共用字符串(community)，并建議使用提供消息加密功能的SNMP。如不通過SNMP對(duì)設(shè)備進(jìn)行遠(yuǎn)程配置，應(yīng)將其配置成只讀。

2．訪問控制能力。一是對(duì)于城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備，需要啟用訪問控制功能(ACL)，其中業(yè)務(wù)接入控制設(shè)備啟用針對(duì)IP層和傳輸層的訪問控制功能，包括基于IP層及傳輸層包過濾規(guī)則的控制、基于MAC等二層信息的控制、基于用戶名密碼的接入控制;匯聚設(shè)備啟用針對(duì)MAC地址的訪問控制功能。二是對(duì)城域網(wǎng)中的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)正確配置，并啟動(dòng)設(shè)備本身自帶的安全功能。城域網(wǎng)網(wǎng)絡(luò)設(shè)備，必須配置合理的安全訪問規(guī)則，利用規(guī)則合理拒絕不應(yīng)該進(jìn)入城域數(shù)據(jù)網(wǎng)以及對(duì)網(wǎng)絡(luò)設(shè)備自身訪問的報(bào)文。三是在策略安全部署的時(shí)候，必須遵從最小化策略集的原則。最小化策略集原則指的是，針對(duì)必要的網(wǎng)絡(luò)訪問設(shè)置安全規(guī)則，而禁止未定義的訪問。

3．接入安全。一是用戶網(wǎng)絡(luò)接入城域網(wǎng)可以采用靜態(tài)路由或者帶認(rèn)證的動(dòng)態(tài)路由方式。在通過路由協(xié)議接入的情況下，可以采用恰當(dāng)?shù)穆酚蛇^濾功能。在業(yè)務(wù)接入控制設(shè)備上配置嚴(yán)格的訪問控制策略以限制用戶側(cè)設(shè)備訪問城域數(shù)據(jù)網(wǎng)業(yè)務(wù)接入控制設(shè)備，并且僅允許用戶側(cè)設(shè)備和業(yè)務(wù)接入控制設(shè)備之間進(jìn)行路由交換，不允許用戶側(cè)設(shè)備對(duì)業(yè)務(wù)接入控制設(shè)備進(jìn)行其他的任何訪問。二是業(yè)務(wù)接入控制設(shè)備有防范針對(duì)自身的網(wǎng)絡(luò)入侵和DoS(拒絕服務(wù))攻擊的能力;三是業(yè)務(wù)接入控制設(shè)備可對(duì)非法的突發(fā)流量進(jìn)行帶寬限制;四是業(yè)務(wù)接入控制設(shè)備可反向路徑檢查;五是業(yè)務(wù)接入控制設(shè)備可對(duì)流量數(shù)據(jù)的采集、分析和監(jiān)測(cè)能力。

4．網(wǎng)絡(luò)安全設(shè)備的部署。網(wǎng)絡(luò)安全設(shè)備部署不是必需的，可以根據(jù)業(yè)務(wù)需要，綜合考慮安全性價(jià)比后，在需要的網(wǎng)絡(luò)接入節(jié)點(diǎn)部署網(wǎng)絡(luò)安全設(shè)備。一是防火墻的部署:主要提供內(nèi)外網(wǎng)隔離及訪問控制;內(nèi)部網(wǎng)不同安全域的隔離及訪問控制。二是網(wǎng)絡(luò)安全評(píng)估分析軟件的部署:安裝網(wǎng)絡(luò)安全評(píng)估分析軟件。利用此類軟件掃描分析網(wǎng)絡(luò)系統(tǒng)，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞;還可利用此類軟件對(duì)用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的進(jìn)行記錄的過程，以便發(fā)現(xiàn)和預(yù)防可能的破壞活動(dòng)。三是網(wǎng)絡(luò)安全掃描器的部署:在核心節(jié)點(diǎn)和網(wǎng)絡(luò)管理中心安裝網(wǎng)絡(luò)安全掃描器，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全掃描。四是入侵檢測(cè)和流量清洗系統(tǒng)的部署:對(duì)關(guān)鍵節(jié)點(diǎn)進(jìn)行安全監(jiān)控，部署入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)攻擊和病毒及時(shí)告警，分析異常流量，確定安全事件的性質(zhì)和源頭，及時(shí)采取相應(yīng)措施。