已成共识的是，网络安全所涉及的范围非常广泛。不过，对于NGN网络来说，我们认为应当着重考虑NGN网络各个层面的安全问题：如机房和楼道IAD的安全防盗，AG/IAD的接入认证和控制，AG/IAD的业务认证，而本期我们则力图解析NGN承载网相关的安全周知。

NGN安全方略

NGN承载网采用的IP技术，与基于ATM和SDH的承载网相比，其开放性特点更适合于网络业务发展，但由于其特有的IP协议开放性和公用性，也使得NGN网络不可避免地受到黑客或病毒程序的攻击或干扰，面临诸如用户仿冒、盗打、破坏服务、抢占资源等安全问题。

NGN业务网与数据业务网二层隔离，形成一个相对封闭的业务网。应当对连接NGN业务网的每一个入口都进行严格的安全控制。

● NGN业务网核心网络设备（软交换、SG、TMG）通过防火墙接入NGN业务网，防止对关键设备的网络攻击。

● IAD接入端口是NGN业务网最大的安全隐患，IAD设备处于用户端，存在被利用来恶意攻击运营商关键网络设备（如软交换、信令网关、中继网关、应用服务器）的可能性。一方面建议采用楼道IAD，通过物理安全来保证接入端口不被非法访问，另一方面所有IAD设备都通过BAS接入NGN业务网，由BAS进行IAD的接入控制和管理。

● 数据业务网通过IP-IP网关（IMG）与NGN业务网互通，安全性很高，NGN不易受到数据业务网的攻击。


NGN承载网网络安全架构图


BAS安全控制特性

用户管理

用户管理包括物理端口管理和IAD/AG设备认证，IAD/AG通过BAS完成接入认证，再与软交软交互完成业务认证。BAS通过物理端口和二层标识（VLAN和PVC）作为用户的标识，使无运营、无管理的宽带接入网成为可运营、可管理的电信级网络。

● 在策略服务器（PS）和BOSS/OSS配合下，可实现局端电话控制业务，可随时根据用户的交费、开户和安全（如流量异常）等情况，迅速激活或关闭用户，不需要在物理线路上或亲自到用户端进行操作。

● BAS对IAD设备进行认证，通过静态或动态IP+VLAN+MAC绑定，实现用户过滤，防止地址盗用。

● 可以限制VLAN下接入的IAD数目，防止假冒用户恶意攻击，保护网络关键资源，防止非法用户发起攻击，耗尽DHCP服务器地址资源，使合法IAD用户不能获得地址，通过log或告警信息进行攻击追查。

● 通过实时计费等功能，可以对每个IAD的流量信息进行统计，用作业务和网络分析，检测是否有异常流量等情况。

用户信息隔离

在城域接入层采用一层/二层隔离技术隔离用户和业务，保证用户之间信息的隔离。IAD通过二层隔离技术接入BAS，由BAS通过静态防火墙（ACL）控制IAD之间的互访或IAD对NGN其他设备的互访。

动态防火墙

动态防火墙的原理与动态QoS策略类似，通过承载网对NGN业务的感知来实现动态安全策略。IAD初始接入时，BAS为IAD设置初始ACL，只能访问软交换。IAD向软交换发起呼叫，策略路由器（PS）通过与软交换的交互IAD呼叫信息，获知被叫IAD的IP地址及端口号，动态向BAS下发安全策略，从而实现主被叫的互通。

转载地址:http://www.voipchina.cn/technology/2004-03-24/36570.shtml