監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

城域網(wǎng)安全建議

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

安全是城域網(wǎng)基礎(chǔ)設(shè)施必備的一部分內(nèi)容,將信息安全要求納入城域網(wǎng)的建設(shè),也是保障城域網(wǎng)正常運(yùn)營(yíng)非常重要的一個(gè)環(huán)節(jié)。

威脅城域核心網(wǎng)安全的風(fēng)險(xiǎn),主要表現(xiàn)為核心設(shè)備遭受攻擊或病毒引發(fā)網(wǎng)絡(luò)流量激增,進(jìn)而對(duì)設(shè)備性能產(chǎn)生沖擊。

核心交換層由核心交換節(jié)點(diǎn)構(gòu)成,它將多個(gè)邊緣匯聚層連接起來(lái),提供穿透服務(wù),進(jìn)行數(shù)據(jù)的高速轉(zhuǎn)發(fā),同時(shí)實(shí)現(xiàn)與全國(guó)骨干網(wǎng)絡(luò)的互聯(lián),提供城市高速IP數(shù)據(jù)出口。用戶數(shù)據(jù)流可通過(guò)匯聚層上行到核心網(wǎng)絡(luò),通過(guò)核心網(wǎng)獲取所需業(yè)務(wù)。

從技術(shù)上,建議對(duì)核心交換設(shè)備應(yīng)采取的安全措施包括:

無(wú)阻塞交換,QoS保障

核心交換機(jī)應(yīng)采用高背板的交換設(shè)備,要有足夠的帶寬來(lái)保證大量業(yè)務(wù)流進(jìn)行快速數(shù)據(jù)交換,采用隊(duì)列、整形等QoS技術(shù)來(lái)達(dá)到重要數(shù)據(jù)流的無(wú)擁塞轉(zhuǎn)發(fā),要避免流Cache模型造成系統(tǒng)崩潰。

設(shè)備及鏈路的冗余備份

系統(tǒng)出現(xiàn)軟硬件故障時(shí),可迅速切換到備用模塊;采用STP技術(shù)進(jìn)行鏈路備份,來(lái)增強(qiáng)可靠性;核心交換設(shè)備是整個(gè)城域網(wǎng)的心臟,所以要具有高可靠性,一般都采用多臺(tái)交換設(shè)備互備,并采用雙引擎、雙電源、雙鏈路的備份方式。原則上要求核心節(jié)點(diǎn)間采用網(wǎng)狀或半網(wǎng)狀連接。

多級(jí)安全密碼體系,服務(wù)和協(xié)議安全,審計(jì)日志系統(tǒng)
避免采用簡(jiǎn)單的密碼體系,應(yīng)采用多層的、復(fù)雜算法的密碼體系。不必要的服務(wù)和協(xié)議一定要關(guān)掉。以SNMP協(xié)議為例,在不用SNMP網(wǎng)管協(xié)議時(shí)一定要把它關(guān)掉,SNMP給我們管理大型網(wǎng)絡(luò)帶來(lái)了方便,同時(shí)它也是雙刃劍,給黑客攻擊帶來(lái)了方便;如果必須用網(wǎng)管協(xié)議,則必須用SNMP V3 ,它具有MD5加密的功能。

保證網(wǎng)絡(luò)設(shè)備具備審計(jì)信息發(fā)送、查詢、統(tǒng)計(jì)等功能;進(jìn)行設(shè)備日志的配置,記錄和觀察網(wǎng)絡(luò)的運(yùn)行情況,來(lái)進(jìn)行信息跟蹤。

路由協(xié)議穩(wěn)定性和冗余性,路由認(rèn)證和路由過(guò)濾

防止城域網(wǎng)用戶路由的抖動(dòng)影響廣域骨干網(wǎng)的運(yùn)行,IP城域網(wǎng)一般以單獨(dú)AS自治域的形式與廣域骨干網(wǎng)相連;路由要進(jìn)行匯總,來(lái)減少路由表的數(shù)目,從而減少子區(qū)域路由變化對(duì)其他區(qū)域的影響,提高路由轉(zhuǎn)發(fā)的速度和路由的穩(wěn)定性;要保證路由失效時(shí)有多條路徑可選擇,防止單路由或單節(jié)點(diǎn)的失效造成全網(wǎng)中斷的情況發(fā)生。

用安全的路由和網(wǎng)絡(luò)協(xié)議,選用具有MD5加密功能的路由協(xié)議進(jìn)行加密,各個(gè)路由區(qū)域之間要進(jìn)行訪問(wèn)認(rèn)證,來(lái)保證路由協(xié)議的安全;不同路由協(xié)議之間進(jìn)行路由策略控制,路由過(guò)濾可以控制路由更新只發(fā)往特定網(wǎng)絡(luò),以及接受從特定路由器接口發(fā)來(lái)的路由,防止虛假路由進(jìn)入核心網(wǎng)絡(luò)。

廣播抑制“Broadcast Limit”

利用城域網(wǎng)骨干設(shè)備的“Broadcast Limit”特性可以限制每秒通過(guò)設(shè)備的廣播流量,根據(jù)需要來(lái)對(duì)廣播包數(shù)量進(jìn)行手工控制,從而將廣播風(fēng)暴的影響降到最低;交換機(jī)可以統(tǒng)計(jì)其端口每秒收發(fā)的字節(jié)數(shù),當(dāng)超過(guò)指定的最大速率,則端口丟棄所有后來(lái)超過(guò)的那部分。

抗DoS攻擊防范措施

抗DoS攻擊是把攻擊流量遷引到抗DoS攻擊設(shè)備——1000M黑洞,通過(guò)黑洞過(guò)濾后再把正常訪問(wèn)流量通過(guò)專門的TUNNEL返回服務(wù)器。

來(lái)源:CCW

發(fā)布:2007-04-22 10:11    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普沈陽(yáng)OA快博其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開發(fā)公司 沈陽(yáng)門禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司