前言：本站為你精心整理了城域網(wǎng)安全防治及應(yīng)對范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：彭小英黃大倫韋海清作者單位：廣西英華國際職業(yè)學(xué)院

城域網(wǎng)設(shè)備安全管理

一是城域網(wǎng)中的所有網(wǎng)絡(luò)設(shè)備具備防范口令探測攻擊的能力，以防止非法用戶使用暴力猜測方式獲得網(wǎng)絡(luò)設(shè)備的口令信息。二是城域網(wǎng)所有網(wǎng)絡(luò)設(shè)備上不必要的端口和服務(wù)應(yīng)當(dāng)關(guān)閉，在所有的網(wǎng)絡(luò)設(shè)備上可以提供SSH和FTPS服務(wù)。為確保設(shè)備配置文件的安全，針對網(wǎng)絡(luò)設(shè)備的升級操作應(yīng)在本地進行，不建議對網(wǎng)絡(luò)設(shè)備采用遠程FTP方式進行升級操作。三是城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備應(yīng)該具有登錄受限功能，依靠ACL等方式只允許特定的IP地址登陸網(wǎng)絡(luò)設(shè)備，在受信范圍以外的IP地址應(yīng)無法登錄網(wǎng)絡(luò)設(shè)備。四是城域數(shù)據(jù)網(wǎng)中所有的接入設(shè)備都必須支持SSH功能。五是網(wǎng)絡(luò)設(shè)備針對遠程網(wǎng)絡(luò)管理的需要，應(yīng)當(dāng)執(zhí)行嚴(yán)格的身份認證與權(quán)限管理策略，并加強口令的安全管理。可對網(wǎng)絡(luò)設(shè)備的訪問權(quán)限進行分級控制，例如普通權(quán)限只能查看網(wǎng)絡(luò)設(shè)備的狀態(tài)而不能改變網(wǎng)絡(luò)設(shè)備的配置。

城域網(wǎng)安全策略部署

1．網(wǎng)絡(luò)協(xié)議的安全保證。協(xié)議安全重點關(guān)注城域數(shù)據(jù)網(wǎng)網(wǎng)元間所運行網(wǎng)絡(luò)協(xié)議本身的安全。城域網(wǎng)網(wǎng)絡(luò)設(shè)備應(yīng)采用安全的網(wǎng)絡(luò)協(xié)議進行通信，利用必要的安全防護技術(shù)保證網(wǎng)絡(luò)設(shè)備本身的安全。一是在城域網(wǎng)中所使用的路由協(xié)議必須帶有驗證功能，對于鄰居關(guān)系、路由信息等的協(xié)議交互均需要提供必要的驗證手段，防止路由欺騙。路由器之間需要提供路由認證功能。路由認證(RoutingAuthentication)，就是運行于不同網(wǎng)絡(luò)設(shè)備的相同動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行確認，以便使得設(shè)備能夠接受真正而安全的路由刷新報文，所有的路由器設(shè)備應(yīng)當(dāng)采用密文方式的MD5或者SHA－1路由認證。二是如使用SNMP進行網(wǎng)管配置，須選擇功能強大的共用字符串(community)，并建議使用提供消息加密功能的SNMP。如不通過SNMP對設(shè)備進行遠程配置，應(yīng)將其配置成只讀。

2．訪問控制能力。一是對于城域網(wǎng)中的網(wǎng)絡(luò)設(shè)備，需要啟用訪問控制功能(ACL)，其中業(yè)務(wù)接入控制設(shè)備啟用針對IP層和傳輸層的訪問控制功能，包括基于IP層及傳輸層包過濾規(guī)則的控制、基于MAC等二層信息的控制、基于用戶名密碼的接入控制;匯聚設(shè)備啟用針對MAC地址的訪問控制功能。二是對城域網(wǎng)中的路由器、交換機等網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)正確配置，并啟動設(shè)備本身自帶的安全功能。城域網(wǎng)網(wǎng)絡(luò)設(shè)備，必須配置合理的安全訪問規(guī)則，利用規(guī)則合理拒絕不應(yīng)該進入城域數(shù)據(jù)網(wǎng)以及對網(wǎng)絡(luò)設(shè)備自身訪問的報文。三是在策略安全部署的時候，必須遵從最小化策略集的原則。最小化策略集原則指的是，針對必要的網(wǎng)絡(luò)訪問設(shè)置安全規(guī)則，而禁止未定義的訪問。

3．接入安全。一是用戶網(wǎng)絡(luò)接入城域網(wǎng)可以采用靜態(tài)路由或者帶認證的動態(tài)路由方式。在通過路由協(xié)議接入的情況下，可以采用恰當(dāng)?shù)穆酚蛇^濾功能。在業(yè)務(wù)接入控制設(shè)備上配置嚴(yán)格的訪問控制策略以限制用戶側(cè)設(shè)備訪問城域數(shù)據(jù)網(wǎng)業(yè)務(wù)接入控制設(shè)備，并且僅允許用戶側(cè)設(shè)備和業(yè)務(wù)接入控制設(shè)備之間進行路由交換，不允許用戶側(cè)設(shè)備對業(yè)務(wù)接入控制設(shè)備進行其他的任何訪問。二是業(yè)務(wù)接入控制設(shè)備有防范針對自身的網(wǎng)絡(luò)入侵和DoS(拒絕服務(wù))攻擊的能力;三是業(yè)務(wù)接入控制設(shè)備可對非法的突發(fā)流量進行帶寬限制;四是業(yè)務(wù)接入控制設(shè)備可反向路徑檢查;五是業(yè)務(wù)接入控制設(shè)備可對流量數(shù)據(jù)的采集、分析和監(jiān)測能力。

4．網(wǎng)絡(luò)安全設(shè)備的部署。網(wǎng)絡(luò)安全設(shè)備部署不是必需的，可以根據(jù)業(yè)務(wù)需要，綜合考慮安全性價比后，在需要的網(wǎng)絡(luò)接入節(jié)點部署網(wǎng)絡(luò)安全設(shè)備。一是防火墻的部署:主要提供內(nèi)外網(wǎng)隔離及訪問控制;內(nèi)部網(wǎng)不同安全域的隔離及訪問控制。二是網(wǎng)絡(luò)安全評估分析軟件的部署:安裝網(wǎng)絡(luò)安全評估分析軟件。利用此類軟件掃描分析網(wǎng)絡(luò)系統(tǒng)，及時發(fā)現(xiàn)并修正存在的弱點和漏洞;還可利用此類軟件對用戶使用計算機網(wǎng)絡(luò)系統(tǒng)的進行記錄的過程，以便發(fā)現(xiàn)和預(yù)防可能的破壞活動。三是網(wǎng)絡(luò)安全掃描器的部署:在核心節(jié)點和網(wǎng)絡(luò)管理中心安裝網(wǎng)絡(luò)安全掃描器，對整個網(wǎng)絡(luò)進行安全掃描。四是入侵檢測和流量清洗系統(tǒng)的部署:對關(guān)鍵節(jié)點進行安全監(jiān)控，部署入侵檢測系統(tǒng)，對網(wǎng)絡(luò)攻擊和病毒及時告警，分析異常流量，確定安全事件的性質(zhì)和源頭，及時采取相應(yīng)措施。