★隨信令媒體代理設(shè)備隔離

為保障軟交換網(wǎng)絡(luò)的安全，可以將軟交換網(wǎng)絡(luò)進(jìn)行安全區(qū)域的劃分，根據(jù)軟交換網(wǎng)絡(luò)中設(shè)備的安全需求以及軟交換網(wǎng)絡(luò)的安全區(qū)域，劃分成內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)兩個(gè)安全區(qū)域。

軟交換網(wǎng)絡(luò)內(nèi)網(wǎng)區(qū)：由軟交換、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)、大容量用戶(hù)綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。該網(wǎng)絡(luò)區(qū)域設(shè)備面向大量用戶(hù)提供服務(wù)，安全等級(jí)要求高。

軟交換網(wǎng)絡(luò)外網(wǎng)區(qū)：由SIP終端、PC軟終端、普通用戶(hù)IAD等終端設(shè)備組成的網(wǎng)絡(luò)區(qū)域，該網(wǎng)絡(luò)區(qū)域設(shè)備放置在用戶(hù)側(cè)，面向個(gè)人用戶(hù)提供服務(wù)。

內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的互通，通過(guò)信令媒體代理設(shè)備實(shí)現(xiàn)，信令媒體代理設(shè)備除進(jìn)行外網(wǎng)區(qū)終端訪問(wèn)軟交換和網(wǎng)關(guān)設(shè)備的信令、媒體轉(zhuǎn)發(fā)之外，同時(shí)在安全方面應(yīng)具有以下功能：

1．設(shè)備應(yīng)能支持基于SIP、MGCP和H．248協(xié)議的應(yīng)用層攻擊防護(hù)。

2．設(shè)備應(yīng)能對(duì)異常消息、異常流量等高風(fēng)險(xiǎn)行為進(jìn)行識(shí)別并產(chǎn)生實(shí)時(shí)告警，供維護(hù)人員作進(jìn)一步處理。

3．對(duì)于以下情況，設(shè)備應(yīng)能進(jìn)行識(shí)別并按照預(yù)定策略進(jìn)行處理。

（a）應(yīng)能根據(jù)用戶(hù)注冊(cè)狀態(tài)進(jìn)行消息的處理，對(duì)未注冊(cè)用戶(hù)發(fā)送的非注冊(cè)消息進(jìn)行丟棄處理；

（b）設(shè)備應(yīng)能對(duì)注冊(cè)鑒權(quán)失敗的用戶(hù)終端建立監(jiān)視列表，記錄IP地址／端口和用戶(hù)名，并能采取相應(yīng)措施。

．設(shè)備應(yīng)具有防常見(jiàn)DoS攻擊能力。

網(wǎng)絡(luò)隔離

把NGN與其他網(wǎng)絡(luò)進(jìn)行物理隔離，即在物理上單獨(dú)構(gòu)建一個(gè)獨(dú)立的網(wǎng)絡(luò)，可以有效規(guī)避外部攻擊，但是這種建網(wǎng)與維護(hù)成本顯然較高，所以這種方法并不可取。近年來(lái)，隨著VPN技術(shù)的成熟，在同一個(gè)物理網(wǎng)絡(luò)上構(gòu)建不同的VPN已經(jīng)實(shí)際可行，可以采用MPLS、VLAN等VPN技術(shù)從分組數(shù)據(jù)物理網(wǎng)絡(luò)中劃分出一個(gè)獨(dú)立邏輯網(wǎng)絡(luò)作為NGN虛擬業(yè)務(wù)網(wǎng)絡(luò)，把NGN從邏輯上與其他網(wǎng)絡(luò)進(jìn)行隔離，其他網(wǎng)絡(luò)用戶(hù)無(wú)法通過(guò)非法途徑訪問(wèn)NGN網(wǎng)絡(luò)，將可以避免來(lái)自其他網(wǎng)絡(luò)特別是Internet網(wǎng)絡(luò)上用戶(hù)對(duì)NGN網(wǎng)絡(luò)的攻擊與破壞。

數(shù)據(jù)加密

為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽(tīng)，可以采用目前互聯(lián)網(wǎng)上通用的數(shù)據(jù)加密技術(shù)對(duì)信令流和媒體流進(jìn)行加密。

對(duì)于IP網(wǎng)絡(luò)上的信令傳輸，目前提出的主要安全機(jī)制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范（RFC3015）中，指定Megaco協(xié)議的實(shí)現(xiàn)要采用IPSec協(xié)議保證媒體網(wǎng)關(guān)和軟交換設(shè)備之間的通信安全。在不支持IPSec的環(huán)境下，使用Megaco提供的鑒權(quán)頭（AH）鑒權(quán)機(jī)制對(duì)IP分組實(shí)施鑒權(quán)。在Megaco協(xié)議中強(qiáng)調(diào)了如果支持IPSec就必須采用IPSec機(jī)制，并且指出IPSec的使用不會(huì)影響Megaco協(xié)議進(jìn)行交互接續(xù)的性能。IPSec是IPv4協(xié)議上的一個(gè)應(yīng)用協(xié)議，IPv6直接支持IPSec選項(xiàng)。

對(duì)于媒體流的傳輸，采用對(duì)RTP包進(jìn)行加密，目前主要采用對(duì)稱(chēng)加密算法對(duì)RTP包進(jìn)行加密。

對(duì)于用戶(hù)賬號(hào)、密碼等私有信息，目前采用的加密算法主要是MD5，用于用戶(hù)身份的認(rèn)證。

訪問(wèn)控制

★接入用戶(hù)身份認(rèn)證

軟交換終端用戶(hù)特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時(shí)必須經(jīng)過(guò)嚴(yán)格的認(rèn)證，確認(rèn)用戶(hù)的身份后才允許用戶(hù)接入NGN網(wǎng)絡(luò)。

用戶(hù)接入認(rèn)證時(shí)可以采用保密強(qiáng)度比較高的公開(kāi)密鑰體系來(lái)進(jìn)行，以保證用戶(hù)身份的可靠性。NGN系統(tǒng)認(rèn)證確認(rèn)用戶(hù)身份接入NGN網(wǎng)絡(luò)后，可以把用戶(hù)標(biāo)志、IP地址等信息進(jìn)行綁定并記錄到網(wǎng)絡(luò)安全日志中。這樣一旦用戶(hù)的身份在接入時(shí)得到了確認(rèn)，即使個(gè)別用戶(hù)進(jìn)行網(wǎng)絡(luò)破壞也很容易通過(guò)網(wǎng)絡(luò)的安全日志迅速定位和查處該用戶(hù)。通過(guò)這種方式從根源上基本可以杜絕從用戶(hù)側(cè)發(fā)起網(wǎng)絡(luò)攻擊而導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題。另外，可以強(qiáng)制軟交換或終端網(wǎng)管設(shè)備對(duì)終端的IP地址、MAC地址與終端標(biāo)志進(jìn)行匹配，當(dāng)終端標(biāo)志正確，但是IP地址或MAC地址不正確時(shí)，也不予提供接入和服務(wù)。

★訪問(wèn)控制

1．設(shè)備管理控制臺(tái)訪問(wèn)

控制臺(tái)是設(shè)備提供的最基本的配置方式。控制臺(tái)擁有對(duì)設(shè)備最高配置權(quán)限，對(duì)控制臺(tái)訪問(wèn)方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。包括：用戶(hù)登錄驗(yàn)證、控制臺(tái)超時(shí)注銷(xiāo)、控制臺(tái)終端鎖定。

2．異步輔助端口的本地、遠(yuǎn)程撥號(hào)訪問(wèn)嚴(yán)格控制通過(guò)設(shè)備的其他異步輔助端口對(duì)設(shè)備進(jìn)行本地、遠(yuǎn)程撥號(hào)的交互配置，缺省要求身份驗(yàn)證。

3．TELNET訪問(wèn)嚴(yán)格控制Telnet訪問(wèn)

用戶(hù)、缺省要求身份驗(yàn)證，以及限制Telnet終端的IP地址，限制同時(shí)Telnet用戶(hù)數(shù)目等。

NGN網(wǎng)絡(luò)安全建議

NGN網(wǎng)絡(luò)，如何構(gòu)建安全的下一代網(wǎng)絡(luò)？

根據(jù)前面的論述，為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性，必須做到以下幾點(diǎn)：

1．在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備，防止對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊；

2．把NGN與Internet等其他網(wǎng)絡(luò)進(jìn)行隔離，保證除NGN設(shè)備和用戶(hù)外其他用戶(hù)無(wú)法通過(guò)非法途徑訪問(wèn)NGN；

3．對(duì)用戶(hù)與軟交換交互的信令消息進(jìn)行加密，確保無(wú)法被非法監(jiān)聽(tīng)；

4．在接入層對(duì)用戶(hù)接入和業(yè)務(wù)使用進(jìn)行嚴(yán)格控制，用戶(hù)必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò)，用戶(hù)的業(yè)務(wù)使用也必須經(jīng)過(guò)嚴(yán)格的鑒權(quán)和認(rèn)證。

軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPLSVPN網(wǎng)絡(luò)，對(duì)于內(nèi)部大客戶(hù)可以通過(guò)專(zhuān)線直接接入，其他非信任區(qū)域的終端用戶(hù)只能通過(guò)信令媒體代理設(shè)備訪問(wèn)，同時(shí)采用IPSec加密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴(yán)格控制終端的接入，對(duì)終端標(biāo)志、IP地址、MAC地址進(jìn)行認(rèn)證。

總之，下一代網(wǎng)絡(luò)的安全保證是一個(gè)系統(tǒng)工程，使用任何單獨(dú)的技術(shù)都無(wú)法完成這個(gè)任務(wù)，只有綜合運(yùn)用加密、認(rèn)證、防攻擊等各種安全保障手段，并且相互配合才可以構(gòu)建一個(gè)安全的下一代網(wǎng)絡(luò)

【編輯推薦】

1. 梭子魚(yú)：構(gòu)建企業(yè)網(wǎng)絡(luò)高效方程式
2. 企業(yè)如何構(gòu)建綠色數(shù)據(jù)中心
3. 北塔為人大構(gòu)建校園整體網(wǎng)絡(luò)管理解決方案
4. 深信服廣域網(wǎng)加速助力海關(guān)構(gòu)建高效辦公網(wǎng)絡(luò)