★隨信令媒體代理設(shè)備隔離

為保障軟交換網(wǎng)絡(luò)的安全，可以將軟交換網(wǎng)絡(luò)進(jìn)行安全區(qū)域的劃分，根據(jù)軟交換網(wǎng)絡(luò)中設(shè)備的安全需求以及軟交換網(wǎng)絡(luò)的安全區(qū)域，劃分成內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)兩個安全區(qū)域。

軟交換網(wǎng)絡(luò)內(nèi)網(wǎng)區(qū)：由軟交換、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)、大容量用戶綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。該網(wǎng)絡(luò)區(qū)域設(shè)備面向大量用戶提供服務(wù)，安全等級要求高。

軟交換網(wǎng)絡(luò)外網(wǎng)區(qū)：由SIP終端、PC軟終端、普通用戶IAD等終端設(shè)備組成的網(wǎng)絡(luò)區(qū)域，該網(wǎng)絡(luò)區(qū)域設(shè)備放置在用戶側(cè)，面向個人用戶提供服務(wù)。

內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的互通，通過信令媒體代理設(shè)備實(shí)現(xiàn)，信令媒體代理設(shè)備除進(jìn)行外網(wǎng)區(qū)終端訪問軟交換和網(wǎng)關(guān)設(shè)備的信令、媒體轉(zhuǎn)發(fā)之外，同時在安全方面應(yīng)具有以下功能：

1．設(shè)備應(yīng)能支持基于SIP、MGCP和H．248協(xié)議的應(yīng)用層攻擊防護(hù)。

2．設(shè)備應(yīng)能對異常消息、異常流量等高風(fēng)險行為進(jìn)行識別并產(chǎn)生實(shí)時告警，供維護(hù)人員作進(jìn)一步處理。

3．對于以下情況，設(shè)備應(yīng)能進(jìn)行識別并按照預(yù)定策略進(jìn)行處理。

（a）應(yīng)能根據(jù)用戶注冊狀態(tài)進(jìn)行消息的處理，對未注冊用戶發(fā)送的非注冊消息進(jìn)行丟棄處理；

（b）設(shè)備應(yīng)能對注冊鑒權(quán)失敗的用戶終端建立監(jiān)視列表，記錄IP地址／端口和用戶名，并能采取相應(yīng)措施。

．設(shè)備應(yīng)具有防常見DoS攻擊能力。

網(wǎng)絡(luò)隔離

把NGN與其他網(wǎng)絡(luò)進(jìn)行物理隔離，即在物理上單獨(dú)構(gòu)建一個獨(dú)立的網(wǎng)絡(luò)，可以有效規(guī)避外部攻擊，但是這種建網(wǎng)與維護(hù)成本顯然較高，所以這種方法并不可取。近年來，隨著VPN技術(shù)的成熟，在同一個物理網(wǎng)絡(luò)上構(gòu)建不同的VPN已經(jīng)實(shí)際可行，可以采用MPLS、VLAN等VPN技術(shù)從分組數(shù)據(jù)物理網(wǎng)絡(luò)中劃分出一個獨(dú)立邏輯網(wǎng)絡(luò)作為NGN虛擬業(yè)務(wù)網(wǎng)絡(luò)，把NGN從邏輯上與其他網(wǎng)絡(luò)進(jìn)行隔離，其他網(wǎng)絡(luò)用戶無法通過非法途徑訪問NGN網(wǎng)絡(luò)，將可以避免來自其他網(wǎng)絡(luò)特別是Internet網(wǎng)絡(luò)上用戶對NGN網(wǎng)絡(luò)的攻擊與破壞。

數(shù)據(jù)加密

為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽，可以采用目前互聯(lián)網(wǎng)上通用的數(shù)據(jù)加密技術(shù)對信令流和媒體流進(jìn)行加密。

對于IP網(wǎng)絡(luò)上的信令傳輸，目前提出的主要安全機(jī)制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范（RFC3015）中，指定Megaco協(xié)議的實(shí)現(xiàn)要采用IPSec協(xié)議保證媒體網(wǎng)關(guān)和軟交換設(shè)備之間的通信安全。在不支持IPSec的環(huán)境下，使用Megaco提供的鑒權(quán)頭（AH）鑒權(quán)機(jī)制對IP分組實(shí)施鑒權(quán)。在Megaco協(xié)議中強(qiáng)調(diào)了如果支持IPSec就必須采用IPSec機(jī)制，并且指出IPSec的使用不會影響Megaco協(xié)議進(jìn)行交互接續(xù)的性能。IPSec是IPv4協(xié)議上的一個應(yīng)用協(xié)議，IPv6直接支持IPSec選項。

對于媒體流的傳輸，采用對RTP包進(jìn)行加密，目前主要采用對稱加密算法對RTP包進(jìn)行加密。

對于用戶賬號、密碼等私有信息，目前采用的加密算法主要是MD5，用于用戶身份的認(rèn)證。

訪問控制

★接入用戶身份認(rèn)證

軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時必須經(jīng)過嚴(yán)格的認(rèn)證，確認(rèn)用戶的身份后才允許用戶接入NGN網(wǎng)絡(luò)。

用戶接入認(rèn)證時可以采用保密強(qiáng)度比較高的公開密鑰體系來進(jìn)行，以保證用戶身份的可靠性。NGN系統(tǒng)認(rèn)證確認(rèn)用戶身份接入NGN網(wǎng)絡(luò)后，可以把用戶標(biāo)志、IP地址等信息進(jìn)行綁定并記錄到網(wǎng)絡(luò)安全日志中。這樣一旦用戶的身份在接入時得到了確認(rèn)，即使個別用戶進(jìn)行網(wǎng)絡(luò)破壞也很容易通過網(wǎng)絡(luò)的安全日志迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶側(cè)發(fā)起網(wǎng)絡(luò)攻擊而導(dǎo)致的網(wǎng)絡(luò)安全問題。另外，可以強(qiáng)制軟交換或終端網(wǎng)管設(shè)備對終端的IP地址、MAC地址與終端標(biāo)志進(jìn)行匹配，當(dāng)終端標(biāo)志正確，但是IP地址或MAC地址不正確時，也不予提供接入和服務(wù)。

★訪問控制

1．設(shè)備管理控制臺訪問

控制臺是設(shè)備提供的最基本的配置方式。控制臺擁有對設(shè)備最高配置權(quán)限，對控制臺訪問方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。包括：用戶登錄驗證、控制臺超時注銷、控制臺終端鎖定。

2．異步輔助端口的本地、遠(yuǎn)程撥號訪問嚴(yán)格控制通過設(shè)備的其他異步輔助端口對設(shè)備進(jìn)行本地、遠(yuǎn)程撥號的交互配置，缺省要求身份驗證。

3．TELNET訪問嚴(yán)格控制Telnet訪問

用戶、缺省要求身份驗證，以及限制Telnet終端的IP地址，限制同時Telnet用戶數(shù)目等。

NGN網(wǎng)絡(luò)安全建議

NGN網(wǎng)絡(luò)，如何構(gòu)建安全的下一代網(wǎng)絡(luò)？

根據(jù)前面的論述，為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性，必須做到以下幾點(diǎn)：

1．在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備，防止對網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊；

2．把NGN與Internet等其他網(wǎng)絡(luò)進(jìn)行隔離，保證除NGN設(shè)備和用戶外其他用戶無法通過非法途徑訪問NGN；

3．對用戶與軟交換交互的信令消息進(jìn)行加密，確保無法被非法監(jiān)聽；

4．在接入層對用戶接入和業(yè)務(wù)使用進(jìn)行嚴(yán)格控制，用戶必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò)，用戶的業(yè)務(wù)使用也必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證。

軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPLSVPN網(wǎng)絡(luò)，對于內(nèi)部大客戶可以通過專線直接接入，其他非信任區(qū)域的終端用戶只能通過信令媒體代理設(shè)備訪問，同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴(yán)格控制終端的接入，對終端標(biāo)志、IP地址、MAC地址進(jìn)行認(rèn)證。

總之，下一代網(wǎng)絡(luò)的安全保證是一個系統(tǒng)工程，使用任何單獨(dú)的技術(shù)都無法完成這個任務(wù)，只有綜合運(yùn)用加密、認(rèn)證、防攻擊等各種安全保障手段，并且相互配合才可以構(gòu)建一個安全的下一代網(wǎng)絡(luò)

【編輯推薦】

1. 梭子魚：構(gòu)建企業(yè)網(wǎng)絡(luò)高效方程式
2. 企業(yè)如何構(gòu)建綠色數(shù)據(jù)中心
3. 北塔為人大構(gòu)建校園整體網(wǎng)絡(luò)管理解決方案
4. 深信服廣域網(wǎng)加速助力海關(guān)構(gòu)建高效辦公網(wǎng)絡(luò)