★ 随信令媒体代理设备隔离
为保证软替换网络的安保,可以将软替换网络启动安保区域的划分,依据软替换网络中设备的安保需求以及软替换网络的安保区域,划分红内网区和外网区两个安保区域。
软替换网络内网区:由软替换、信令网关、运行主机、媒体主机、中继网关、大容量用户综合接入网关等设备组成的网络区域。该网络区域设备面向少量用户提供服务,安保等级要求高。
软替换网络外网区:由SIP终端、PC软终端、一般用户IAD等终端设备组成的网络区域,该网络区域设备搁置在用户侧,面向团体用户提供服务。
内网区和外网区的互通,经过信令媒体代理设备成功,信令媒体代理设备除启动外网区终端访问软替换和网关设备的信令、媒体转发之外,同时在安保方面应具备以下性能:
设备应能支持基于SIP、MGCP和H.248协定的运行层攻打防护。
设备应能对意外信息、意外流量等高危险行为启动识别并发生实时告警,供保养人员作进一步处置。
关于以下状况,设备应能启动识别并依照预约战略启动处置。
(a)应能依据用户注册形态启动信息的处置,对未注册用户发送的非注册信息启动摈弃处置;
(b)设备应能对注册鉴权失败的用户终端树立监督列表,记载IP地址/端口和用户名,并能采取相应措施。
.设备应具备防经常出现DoS攻打才干。
网络隔离
把NGN与其余网络启生物理隔离,即在物理上独自构建一个独立的网络,可以有效规避外部攻打,然而这种建网与保养老本显然较高,所以这种方法并无法取。近年来,随着VPN技术的成熟,在同一个物理网络上构建不同的VPN曾经实践可行,可以驳回MPLS、VLAN等VPN技术从分组数据物理网络中划分出一个独立逻辑网络作为NGN虚构业务网络,把NGN从逻辑上与其余网络启动隔离,其余网络用户无法经过合法路径访问NGN网络,将可以防止来自其余网络特意是Internet网络上用户对NGN网络的攻打与破坏。
数据加密
为了防止NGN中传送的信令和媒体信息被合法监听,可以驳回目前互联网上通用的数据加密技术对信令流和媒体流启动加密。
关于IP网络上的信令传输,目前提出的关键安保机制是IPSec协定。在Megaco协定规范(RFC3)中,指定Megaco协定的成功要驳回IPSec协定保证媒体网关和软替换设备之间的通讯安保。在不支持IPSec的环境下,经常使用Megaco提供的鉴权头(AH)鉴权机制对IP分组实施鉴权。在Megaco协定中强调了假设支持IPSec就必定驳回IPSec机制,并且指出IPSec的经常使用不会影响Megaco协定启动交互接续的性能。IPSec是IPv4协定上的一个运行协定,IPv6间接支持IPSec选项。
关于媒体流的传输,驳回对RTP包启动加密,目前关键驳回对称加密算法对RTP包启动加密。
关于用户账号、明码等私有信息,目前驳回的加密算法关键是MD5,用于用户身份的认证。
访问控制
★接入用户身份认证
软替换终端用户特意是默认终端、PC软终端、桌面IAD等接入NGN网络时必定经过严厉的认证,确认用户的身份后才准许用户接入NGN网络。
用户接入认证时可以驳回隐秘强度比拟高的地下密钥体系来启动,以保证用户身份的牢靠性。NGN系统认证确认用户身份接入NGN网络后,可以把用户标记、IP地址等信息启动绑定并记载到网络安保日志中。这样一旦用户的身份在接入时获取了确认,即使一般用户启动网络破坏也很容易经过网络的安保日志迅速定位和查处该用户。经过这种模式从根源上基本可以根绝从用户侧动员网络攻打而造成的网络安保疑问。另外,可以强迫软替换或终端网管设备对终端的IP地址、MAC地址与终端标记启动婚配,当终端标记正确,然而IP地址或MAC地址不正确时,也不予提供接入和服务。
★访问控制
设备治理控制台访问
控制台是设备提供的最基本的性能模式。控制台领有对设备最高性能权限,对控制台访问模式的权限治理当领有最严厉的模式。包括:用户登录验证、控制台超时注销、控制台终端锁定。
异步辅佐端口的本地、远程拨号访问严厉控制经过设备的其余异步辅佐端口对设备启动本地、远程拨号的交互性能,缺省要求身份验证。
TELNET访问严厉控制Telnet访问
用户、缺省要求身份验证,以及限度Telnet终端的IP地址,限度同时Telnet用户数目等。
NGN网络安保倡导
NGN网络,如何构建安保的下一代网络?
依据前面的论述,为了保证所构建的NGN网络的安保性,必定做到以下几点:
在网络关键设备前搁置防火墙和信令媒体代理设备,防止对网络关键设备的攻打;
把NGN与Internet等其余网络启动隔离,保证除NGN设备和用户外其余用户无法经过合法路径访问NGN;
对用户与软替换交互的信令信息启动加密,确保无法被合法监听;
在接入层对用户接入和业务经常使用启动严厉控制,用户必定经过严厉的鉴权和认证才可以接入NGN网络,用户的业务经常使用也必定经过严厉的鉴权和认证。
软替换、运行主机和各种网关设备组成敞开的MPLSVPN网络,关于外部大客户可以经过专线间接接入,其余非信赖区域的终端用户只能经过信令媒体代理设备访问,同时驳回IPSec加密交互的信令信息。软替换和信令媒体代理设备严厉控制终端的接入,对终端标记、IP地址、MAC地址启动认证。
总之,下一代网络的安保保证是一个系统工程,经常使用任何独自的技术都无法成功这个义务,只要综合运用加密、认证、防攻打等各种安保保证手腕,并且相互配合才可以构建一个安保的下一代网络
【编辑介绍】