IP城域網匯聚層安全IP城域網匯聚層安全匯聚層負責匯集分散的接入點進行數據交換，提供流量控制和用戶管理功能，作為城域網的業務提供層面，是可運營、可管理城域網最重要的組成部分。匯聚層設備是用戶管理的基本設備，也是保證城域網承載網和業務安全的基本屏障，更是保障城域網安全性能的關鍵。匯聚層設備的安全特性主要體現在以下幾點：用戶接入網絡的安全控制，包括加強口令、密碼、智能卡等訪問控制手段；支持限制用戶端口最大接入IP地址數、PPP會話數、TCP/UDP連接數，有效防止DOS、DDOS類的攻擊；支持訪問控制列表(ACL)，包括在虛擬路由器中創建ACL列表、采用多種過濾規則提供多層次對目標網絡的保護，以及禁止部分用戶訪問或有選擇地屏蔽網絡服務；可實現對用戶帶寬的控制；安全日志管理。從長遠看，BRAS產品也必須考慮用戶的安全防護措施。如何提供病毒防治、集中安全管理和升級等手段，將成為提高通信網絡安全的關鍵。IP城域網接入層安全通過各種接入技術和線路資源實現用戶覆蓋，提供多業務用戶的接入并配合完成用戶流量的控制功能，包括xDSL、LAN和WLAN等接入方式。設備采用的安全手段包括：保證接入側用戶相互隔離，保證接入的安全性，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；IP地址與MAC地址、卡號綁定，能夠準確定位用戶，包括端口或MAC地址，并可提供追查惡意用戶的手段；在LAN接入方面，還要采用一些端口檢測的措施，防止用戶二層環路的發生；采用PortSecurity措施，防止用戶的CAM攻擊和ARP攻擊等。城域網運營支撐平臺的安全信任域的安全信任域由網絡業務支撐系統、網管系統、用戶認證計費系統等組成，是城域網安全運營的核心所在，因而，必須采取最嚴密的安全措施。在一般情況下，信任域可能面臨的威脅包括網絡攻擊、網絡入侵、病毒(造成拒絕服務攻擊)等。為了避免這些威脅，保證信任域的安全，可采取以下手段：部署防火墻，制定嚴格的安全訪問策略，嚴格限制對此區域的訪問；認真配置好系統軟件和應用軟件，跟蹤操作系統和應用系統的漏洞及補丁進展情況，嚴格限定系統和應用所服務對象的范圍；部署網絡入侵監測系統(IDS),對核心服務實施監控，對網絡攻擊和病毒及時報警；建立網管系統和日志系統；對重要的主機系統應采用雙機熱備份方式，對重要的應用系統和數據做好完善的備份工作，根據具體情況和需要設置災難恢復系統。隔離域的安全隔離域是城域網對外業務服務的平臺，包括WWW服務、DNS服務、FTP服務、Mail服務、用戶查詢系統等，所有業務必須對外開放，因而安全威脅最大，也是最容易受到攻擊的區域。為保證安全，可采取以下手段：部署防火墻，制定安全訪問策略，特別是拒絕服務攻擊(DDOS)；及時修補服務器的安全漏洞，關閉不必要的網絡服務等；系統備份和日志系統等等。非信任域的安全非信任域是網絡業務的傳輸網絡，主要由各種網絡交換機、服務器等組成，它直接提供用戶的接入和業務。非信任域網絡安全的主要威脅來自各種攻擊和病毒，其危害性主要表現在三個方面：-網絡攻擊或病毒攻擊會消耗網絡設備的系統資源，特別是CPU的處理能力，使正常用戶報文丟失，造成網絡故障。-攻擊大量消耗四層資源，如TCP連接數資源，對網絡服務器和NAT設備的影響很大。-黑客對設備訪問控制權的攻擊。非信任域內的安全措施主要是采用一些動態病毒監測、鏡像系統備份等手段，防止病毒對系統造成危害；必須采用一些木馬動態發現、查殺的工具軟件來防止系統漏洞；同時也可以采用一些IDS系統來防止各種DDOS的攻擊，保證系統的可用性。未來城域網安全防護趨勢一方面，隨著WLAN技術在城域網接入環節的興起，關于無線接入的用戶隔離技術以及針對WLAN接入的網絡安全防護，將成為城域網中的重要發展方向。由于WLAN技術自身在安全方面的缺陷，導致用戶不能有效隔離和用戶接入網絡易受攻擊。現在已經有多種技術可以彌補WLAN技術在安全方面的缺陷，如：可以采用AP隔離、AP與用戶IP/MAC地址綁定、WEP加密技術、WPA接入保護、Portal+Radius認證等技術手段來提升WLAN網絡的安全特性。另一方面，隨著僵尸網絡的產生和網絡攻擊行為的復雜化，未來網絡中的黑客攻擊將成為越來越突出的安全問題。對比之下，傳統的IP城域網對于這些黑客的攻擊行為的識別、抵御和防范存在明顯的不足，例如：對于目前網絡中廣泛存在的DOS/DDOS攻擊，雖然我們有多種手段進行識別，但是這些手段、措施都是有一定技術限制的，不能很好地識別通過僵尸網絡發動的大規模的DDOS攻擊。同時，未來的黑客攻擊都是通過攻擊平臺軟件來進行的，這些平臺軟件集成了多種攻擊手段，僅采用單一的技術手段不能夠防御所有類型的攻擊。因此，為了抵御日趨復雜的攻擊行為，必須對城域網的防攻擊能力有一個完整的規劃，首先我們應該建立一個蜜網系統，利用該系統可以從網絡中獲取實際的病毒數據和攻擊行為樣本，通過