關于IMS邊緣匯聚層設備安全威脅和防范措施的研究

劉國強

摘要：隨著IMS網絡的快速發(fā)展，IMS邊緣匯聚層的網絡安全成為重點關注之，該文針對IMS邊緣匯聚層來自互聯(lián)網的各種主要安全威脅，提出相應的防范方法和措施，通過設置ACL策略等，有效了保證了網絡的安全。

關鍵詞：IMS； 安全； 防范； ACL； 策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）31-7321-02

Abstract： With the rapid development of the IMS network， the network security become one of the focus for the IMS edge convergence layer .This article in view of the IMS edge convergence layer of the major security threat from the Internet and put forward the corresponding prevent methods and measures， by setting the ACL strategy， effectively guarantee the safety of the network.

Key words： IMS； Security； Prevent； ACL； Strategy

隨著通信技術的發(fā)展和人們通信需求的多樣化，傳統(tǒng)的PSTN網絡技術和軟交換網絡技術已經越來越無法滿足人們的需求，迫切需要一種可以融合有線網絡和無線網絡、并且能同時提供語音、數據以及其他增值業(yè)務的新技術，為此，人們提出了IMS[1，2] （IP Multimedia Subsystem）技術， IMS將最終融合固定網、移動網、企業(yè)網、無線網等各種網絡，簡化網絡結構，支持更豐富的定制化業(yè)務。

IMS采用了分層式架構，不僅實現了軟交換中承載和業(yè)務控制的分離，更進一步實現了控制和業(yè)務的分離，這種分層式架構打破了傳統(tǒng)網絡的垂直式業(yè)務體系，通過模塊、接口的標準化，能快速地實現不同應用業(yè)務的部署及新業(yè)務的引入，同時 IMS采用了開放的網絡和業(yè)務能力，從而使應用組合更加靈活多樣，與現有網絡相比，具有更加豐富的業(yè)務提供能力。

IMS網絡與傳統(tǒng)PSTN網絡和軟交換網絡相比，IMS網絡實現了全網IP化和扁平化。由于整個IMS網絡都通過IP相連，而且網絡中的接入層設備都暴露在公網中，入侵者就可以通過這些設備非法訪問IMS核心層設備，而邊緣匯聚層設備起到隔離公網和內部網絡作用，其安全防范措施尤為重要。

1 IMS網絡的網絡結

其中接入層設備主要是指直接連接用戶話機的各種接入設備，包括單用戶終端和多用戶終端等，該層設備處于公網環(huán)境下，信令、媒體等數據在公網中傳送，通過VPN等技術保證路由和數據的安全。

邊緣匯聚層設備主要是公網和內部網絡的連接點和隔離點，其中BAC設備進行公網IP地址和內部網IP地址轉化，一方面保證業(yè)務的暢通，另一方面隔離了內部網絡和公網網絡，保證內部網絡的安全，而外網三層交換機主要連接接入層三層交換機，而內網三層交換機主要連接核心層三層交換機。

核心層設備主要包括IMS核心處理設備，負責整個IMS業(yè)務的控制、業(yè)務轉發(fā)等，核心層設備處在內網中，安全性相對較高。

2 邊緣匯聚層設備面臨的安全威脅

邊緣匯聚層設備一面連接內網設備、一面連接接入層設備，暴露在公網中，其網絡安全威脅包括來自互聯(lián)網的各種安全威脅，該文總結邊緣匯聚層設備主要面臨的各種互聯(lián)網安全威脅如下：

1）三層交換機等負責處理進入設備的數據流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設備CPU的處理時間，造成正常的數據流量無法得到處理，使設備的可用性降低。

2）三層交換機的一個主要功能是進行路由信息的交換。這一方面的主要威脅來自對路由信息的竊取，這樣會造成網絡路由信息的泄漏，使得侵入者可以通過偽造IP地址侵入內部網絡，對網絡帶來嚴重的威脅。

3）對系統(tǒng)管理來說，威脅來自于兩個方面，一個是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個是不嚴密的管理，如設備管理賬號的泄露等。

3 邊緣匯聚層設備的防范方法

1）加強密碼安全。一方面使用強密碼，增加密碼的復雜程度和長度，采用大小寫字母、數字、特殊字符混合而成的長位長密碼，這種方式可以大大減少侵入者破解的幾率。根據LockDown.com公布了一份采用“暴力字母破解”方式獲取密碼的“時間列表”，如果用一臺雙核心PC破解密碼，如果是最簡單的數字密碼，破解時六位數密碼瞬間搞定， 而如果采用數字、大小寫字母與特殊字符混合組成密碼，破解八位需要23年。同時定期修改密碼，一方面可以減少密碼泄露的幾率、另一方面可以進一步增加侵入者破解的難度。

2） 如IMS邊緣匯聚層主要匯接SIP語音業(yè)務，在IP網絡中將SIP協(xié)議封裝在TCP或UDP中，端口固定，那么可以只開放TCP或UDP的固定端口以及其他一些必要的協(xié)議及其端口，禁止開放TELNET、SNMP、PING、FTP等協(xié)議訪問邊緣匯聚層設備，可以通過ACL訪問控制列表進行訪問控制的方法實現以上功能，這樣可以防止侵入者利用這些協(xié)議的已知和未知漏洞對設備進行非法操作。

3）網絡安全一個重要威脅就是通過發(fā)送大量垃圾數據來消耗三層交換機的資源，而使得網絡無法正常運行。如發(fā)送大量非法源IP地址的連接請求到BAC，使得BAC由于處理能力不足而導致網絡癱瘓等，這時可以根據業(yè)務的特殊性進行源IP地址的攔截，如IMS業(yè)務的源IP地址是固定的IP地址段，可以在外網三層交換機上設置ACL，只允許業(yè)務源IP地址段通過，其余源IP地址段地址一律攔截，這樣可以有效防止非法入侵。

4）對三層交換機不使用的物理端口進行關閉。很多情況下三層交換機端口在不使用時不做任何處理，當有線路連接時，端口自動開啟并進行協(xié)商，侵入者有可能通過端口協(xié)商使得端口自動變成TRUNK模式，進而通過TRUNK口非法獲取三層交換機內部的數據流。

5）在外網三層交換機和接入層設備之間不要使用OSPF、GBP等動態(tài)路由協(xié)議。這些動態(tài)路由協(xié)議可能造成內部路由泄露，使得入侵者可以獲知內部組網結構等信息，建議在外網三層交換機和接入層設備之間接口使用靜態(tài)路由，這樣外網只能看到有限的幾條路由信息，可以最大限度的隱藏內部路由。

4 ACL的設置方法

設置了ACL之后，三層交換機對通過設置了ACL策略的端口來的每個數據包都要進行策略匹配和處理，這樣會占用交換機的CPU和內存等資源，因此ACL策略是會對三層交換機性能產生影響的，尤其對低端的三層交換機影響較大，因此，在設置ACL時，應充分考慮條件的嚴謹性，盡量通過較少的條目來實現需求，在實際設置ACL時，確保ACL條目在50條以下，這樣既可以發(fā)揮ACL的作用又不影響交換機的正常工作。

5 結束語

本文首先分析了IMS網絡的結構，總結了IMS邊緣匯聚層設備所面臨的各種安全威脅，并針對相關的安全威脅提出了對應的防范方法和措施，通過以上方法，能夠有效的保證IMS邊緣匯聚層設備的安全。

參考文獻：

[1] 程寶平，梁守青，IMS 原理與應用[M].北京：機械工業(yè)出版社，2007.

[2] 左伯茹.IMS 網絡接入安全方案研究[D].北京：北京郵電大學， 2006.

[3] 孫麗敏.訪問控制列表應用分析[J].通信管理與技術，2007.

[4] 劉軍，王彩萍. ACL 在IP 網絡中的應用[J].計算機與數字工程，2009.

[5] 張巍娜.QoS 與ACL 的配置及應用[J].赤峰學院報：自然科學版，2009（2）.