構(gòu)建安全的下一代網(wǎng)絡(luò)

　　邊界隔離

• 　防火墻隔離

　　軟交換網(wǎng)絡(luò)關(guān)鍵設(shè)備如軟交換、應(yīng)用服務(wù)器和網(wǎng)關(guān)等放置在IP網(wǎng)絡(luò)上，相當(dāng)于IP網(wǎng)絡(luò)上的主機，存在著被攻擊的危險，為保證關(guān)鍵設(shè)備的安全，需要在重要的網(wǎng)絡(luò)設(shè)備前面放置防火墻以保證軟交換核心網(wǎng)絡(luò)設(shè)備的安全。

• 接入用戶身份認證

　　軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時必須經(jīng)過嚴(yán)格的認證，確認用戶的身份后才允許用戶接入NGN網(wǎng)絡(luò)。
　　根據(jù)前面的論述，為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性，必須做到以下幾點：

1. 在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備，防止對網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊；



2. 把NGN與Internet等其他網(wǎng)絡(luò)進行隔離，保證除NGN設(shè)備和用戶外其他用戶無法通過非法途徑訪問NGN；



3. 對用戶與軟交換交互的信令消息進行加密，確保無法被非法監(jiān)聽；



4. 在接入層對用戶接入和業(yè)務(wù)使用進行嚴(yán)格控制，用戶必須經(jīng)過嚴(yán)格的鑒權(quán)和認證才可以接入NGN網(wǎng)絡(luò)，用戶的業(yè)務(wù)使用也必須經(jīng)過嚴(yán)格的鑒權(quán)和認證。

　　軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPLSVPN網(wǎng)絡(luò)，對于內(nèi)部大客戶可以通過專線直接接入，其他非信任區(qū)域的終端用戶只能通過信令媒體代理設(shè)備訪問，同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴(yán)格控制終端的接入，對終端標(biāo)志、IP地址、MAC地址進行認證。

　　總之，下一代網(wǎng)絡(luò)的安全保證是一個系統(tǒng)工程，使用任何單獨的技術(shù)都無法完成這個任務(wù)，只有綜合運用加密、認證、防攻擊等各種安全保障手段，并且相互配合才可以構(gòu)建一個安全的下一代網(wǎng)絡(luò)。

中國聯(lián)通網(wǎng)站