城域網新型安全管理策略研究

陳廣強

（中國電信股份有限公司 廣州分公司，廣東 廣州 510000）

1 城域網安全問題

1.1 網管認證互通

在網管認證中，通常利用驗證、授權及記賬（Authentication Authorization Accounting，AAA）服務器對操作者進行身份識別和權限管理。目前，廣東省內存在傳統(tǒng)城域網與互聯(lián)網數據中心（Internet Data Center，IDC）、城域云網、基于IP的無線接入網（IP Radio Access Network，IPRAN）、云網匯接中心4種不同定位的IP化網絡，各自需要獨立認證。如果按照之前的慣例，則需要分別部署4套AAA認證授權服務器，以滿足日常維護需要。而對于4種網絡的維護人員高度重疊，賬號申請與授權基本一致，日常使用重復率較高。分別設置AAA服務器，無論對于系統(tǒng)建設還是維護支撐，都難免造成人力與物力的浪費。如果能夠簡化為1套系統(tǒng)，則可以極大地節(jié)約各種成本，提高系統(tǒng)建設與日常維護的效率[1-3]。此外，打通不同的網絡又會產生極大的安全隱患，使本來用于安全管理的授權服務器成為網絡間的互通漏洞。

1.2 故障定位和緊急調度

目前城域網路由和流量監(jiān)控主要存在4個方面的問題：一是缺少有效路由預警與故障定位手段，路由故障排查時間長，對業(yè)務影響面較廣；二是承載網故障造成部分鏈路擁塞，需要人工進行流量評估和調整調度，流量調度手段不足，故障歷時長；三是在工程割接中，對割接前后的流量變化和業(yè)務影響情況難以直觀評估，操作風險大；四是網絡各層面的鏈路流量存在負載不均衡的情況，沒有智能化的流量均衡調度手段，容易形成局部網絡擁塞。針對此類問題，建立1套可視化的故障定位和路由調度系統(tǒng)，在網絡突發(fā)故障或受工程影響造成流量擁塞時能快速調度路由，疏導擁塞流量，實現(xiàn)客戶無感的故障處理，對緩解維護壓力、提高運營效率以及提升客戶滿意度都具有重要的意義。

1.3 DNS攻擊

域名系統(tǒng)（Domain Name System，DNS）是互聯(lián)網重要的基礎設施，其主要功能是提供域名對IP的解析。互聯(lián)網的DNS服務器大多由運營商提供，一旦受到攻擊，城域網將面臨癱瘓，對互聯(lián)網用戶造成極其嚴重的影響。近年來，各種DNS安全事件時有發(fā)生，不僅給被攻擊的客戶造成了嚴重的經濟損失，也給整個互聯(lián)網帶來巨大的安全隱患。根據統(tǒng)計，運營商DNS日常每秒查詢率（Queries Per Second，QPS）已達百萬甚至上千萬級別，面對如此大的業(yè)務量，在確保DNS性能不受影響的前提下提升DNS的安全等級并保障DNS服務的可靠性、可用性、連續(xù)性是城域網維護面臨的難題。

1.4 政企云網

政務上云、企業(yè)上云是當前國家提倡的數字化發(fā)展戰(zhàn)略之一，云服務正在成為信息通信服務的主體，基于高速泛在的寬帶網絡為云服務提供更好的網絡基礎也是運營商研發(fā)和推廣新型連接產品的著力點。政府、企業(yè)應用上云面臨著互聯(lián)網暴露風險，單靠原“筑墻”式安全產品難以應對云時代的要求，需轉變思路提供“隱身”式安全防護接入產品。隨著云上教育、云上會議、居家辦公等需求的快速增長，運營商的當務之急是為連接產品提供更加安全的上云保障。

2 城域網安全問題的解決方案

2.1 AAA認證授權服務器優(yōu)化

利用云上虛擬化資源，以單點部署方式實現(xiàn)AAA認證授權服務器統(tǒng)一管理。利用云端多網絡可達的特性，結合云端虛擬防火墻地址轉換功能，分別使用公眾網絡、虛擬專用網絡（Virtual Private Network，VPN）解決不同網絡中服務器無法全部通達、單點調通的問題，減少了不同網絡間分別部署認證服務器造成的資源浪費，實現(xiàn)統(tǒng)一部署、統(tǒng)一管理[4]。

針對傳統(tǒng)城域網與互聯(lián)網數據中心（Internet Data Center，IDC）、城域云網、IPRAN承載網以及云網匯接中心4種不同的IP網絡，在AAA服務器上對維護人員的統(tǒng)一賬號進行分權分域管理，降低授權與日常維護操作的復雜性。結合“云網一體”的部署理念，利用云資源多網通達、快速部署特性，參考網絡原生安全的部署要求，將不同的IP網絡系統(tǒng)通過VPN引入云端，避免產生互通點。在云端分別建立個性化的虛擬防火墻，對訪問AAA認證授權服務器的流量實施隔離，并做到點對點的安全過濾，降低安全風險。

2.2 路由緊急調度優(yōu)化

建立網絡路由可視化及智能流量調度系統(tǒng)，通過協(xié)議監(jiān)聽方式實時監(jiān)視路由情況，構建影子網絡，對網絡的流量分布與業(yè)務流量路徑進行可視化呈現(xiàn)，實現(xiàn)全網傳輸故障的模擬和預案制作以及傳輸故障發(fā)生時的快速、自動化流量優(yōu)化調度，為網絡日常運維、故障處理、拓撲結構調整以及網絡優(yōu)化提供全新的技術支撐。數據分析及處置結構如圖1所示。

圖1 數據分析及處置結構

將收集到的數據分別放入不同的數據庫，針對網絡可視化、路由告警、鏈路質量以及流量流向進行分析，然后推送到網絡仿真或流量調度的操作指令。當網絡拓撲和路由數據從分布全網的路由器收集集中后，可以利用數據庫的優(yōu)勢對這些信息進行集中分析，滿足溯源、預警、處置及其他管理需求。

基于用戶指定的流量自動調度策略和網絡擁塞情況，自動選擇需要調度的流量成分，為該流量成分尋找調度目標鏈路，避免擁塞，實現(xiàn)流量負載均衡。選路算法能基于城域網拓撲和路由、流量情況指定調度約束規(guī)則，實現(xiàn)自動擁塞檢測、調度流量成分確定、調度目標鏈路確定等功能。系統(tǒng)同時支持人工指定的調度方案，即手工選擇流量成分和調度目標鏈路。

基于選路結果生成邊界網關協(xié)議（Border Gateway Protocol，BGP）路由策略，經人工確認后，通過BGP鏈接向城域網路由器發(fā)送優(yōu)選路由，確保下發(fā)路由為優(yōu)先路由。此外，系統(tǒng)提供調度日志查看功能，可通過日志查看特定時間段內發(fā)生的自動調度情況，其中日志包括調度時間、調度的流量成分及其大小、流量調度的目標鏈路或鏈路組[5]。

2.3 DNS防攻擊優(yōu)化

DNS攻擊有效防范是以鑒別篩選非法的DNS請求、屏蔽非法攻擊為主要手段，從業(yè)務網絡、業(yè)務設備以及業(yè)務軟件3個層面采取多種安全防護方式，建立層次化的立體防護體系，確保系統(tǒng)安全可靠。接入網絡開啟訪問控制列表（Access Control List，ACL），節(jié)點間互為災備。業(yè)務設備緩存遞歸采集等全服務器開啟iptables，同時對主機訪問進行安全加固。DNS網管系統(tǒng)防火墻層面開啟異常報文和畸形報文過濾檢測等多種安全防護策略。DNS系統(tǒng)立體防護體系如圖2所示。

圖2 DNS系統(tǒng)立體防護體系

2.4 SDP新型光寬業(yè)務

軟件定義邊界（Software Defined Perimeter，SDP）新型光寬業(yè)務基于高速泛在的寬帶網絡提供智能、彈性的連接服務，為用戶與數據間的交互以及數據與數據間的交互提供更加便捷、安全的連接產品，滿足企業(yè)上云后服務隱身的安全防護需求。對于客戶的數字化上云、多業(yè)務融合需求，SDP憑借通信云網絡的智能化和高安全性平臺即服務（Platform as a Service，PaaS）/軟件即服務（Software-as-a-Service，SaaS）能力，滿足不同用戶的差異化和跨域網絡訪問質量保障需求。SDP新型光寬業(yè)務流程如圖3所示。

圖3 SDP新型光寬業(yè)務流程

3 城域網安全管理策略

3.1 路由調度均衡網絡流量

為避免省內地市間流量擁塞，利用系統(tǒng)對鏈路和拓撲的感知盡快發(fā)現(xiàn)地市域間流量異常，并通過下發(fā)調度指令將流量自動從省內骨干網疏導到集團骨干網，以減少骨干鏈路異常對大面積客戶的影響。

3.2 DNS系統(tǒng)安全防護

在接入網絡層，現(xiàn)網4個業(yè)務節(jié)點接入路由均開啟ACL策略，限制非本網用戶對DNS系統(tǒng)的訪問，并對業(yè)務端口、報文長度等進行限制，有效保護DNS系統(tǒng)業(yè)務的接入安全。同時現(xiàn)網4個業(yè)務節(jié)點通過Anycast組網，實現(xiàn)全局動態(tài)冗余備份，確保DNS系統(tǒng)具備高可用性。

在業(yè)務服務層，現(xiàn)網所有業(yè)務設備均開啟iptables功能，能夠根據業(yè)務需要配置過濾策略，確保業(yè)務設備安全穩(wěn)定運行。所有設備定期進行安全掃描，并定期進行加固。

在DNS系統(tǒng)網管層，具有高級別的DNS安全防護能力，能夠實現(xiàn)對異常報文與畸形報文過濾檢測、分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊、放大遞歸攻擊等的防護，并提供多種IP限制、授權域名限制以及樣本防護等安全防護策略。

3.3 合理搭建SDP新型光寬業(yè)務應用

基于SDP零信任安全模型，實現(xiàn)CT云服務器與客戶內網服務器隱身，杜絕客戶數據在公網暴露，確保云網基礎設施安全。除此之外，基于零信任理念，結合多維環(huán)境（終端、網絡、用戶行為等）動態(tài)感知能力，實現(xiàn)對用戶接入和應用級別的訪問控制，最大程度減少入侵暴露和防護盲點問題。SDP零信任安全模型如圖4所示。

圖4 SDP零信任安全模型

在大規(guī)模城域網引入原生安全思路搭建靈活網管通道，結合VPN的天然安全性和云資源的部署便捷性，有效解決原有網管的安全問題和擴展性局限。在網內通用方案的基礎上，聯(lián)動IP子系統(tǒng)判斷地址注冊安全并給出處置建議，采用云主機模擬路由器的方式和分段路由（Segment Routing，SR）等設備建立BGP與內部網關協(xié)議（Interior Gateway Protocol，IGP）關系，根據BGP路由屬性和IGP鏈路狀態(tài)數據庫信息，在系統(tǒng)上快速收斂出網絡拓撲結構。建立業(yè)務網絡、業(yè)務設備以及業(yè)務軟件3個層面的層次化立體防護體系，采取安全防護二級聯(lián)動方式?；谠凭W連接器和域隔離技術提供多租戶SaaS平臺能力，采用零信任控制臺和CT云資源搭建SDP新型光寬業(yè)務，滿足企業(yè)服務“隱身”的安全防護需求。

4 結 論

對于網管安全建設，需要持續(xù)完善城域網網絡安全頂層設計，聚焦國家網絡安全的長期規(guī)劃，認真做好每一臺設備、每一個平臺、每一項業(yè)務的安全工作?；谛录夹g的逐步引入，路徑計算和調度場景會更加豐富。將路由可視化和拓撲結構相結合，進一步加強有線、無線、核心網等跨專業(yè)聯(lián)動，提高端到端交互能力。DNS系統(tǒng)安全防護方面，提升DNS系統(tǒng)流量的一鍵切換能力，結合層次化的立體防護體系進一步提升安全防護水平。此外，加快SDP光寬業(yè)務產品的推廣力度，持續(xù)完善SDP光寬新型業(yè)務產品的業(yè)務實現(xiàn)能力，為云網融合的業(yè)務快速發(fā)展樹立典型。