★隨信令媒體代理設備隔離

為保障軟交換網絡的安全，可以將軟交換網絡進行安全區(qū)域的劃分，根據(jù)軟交換網絡中設備的安全需求以及軟交換網絡的安全區(qū)域，劃分成內網區(qū)和外網區(qū)兩個安全區(qū)域。

軟交換網絡內網區(qū)：由軟交換、信令網關、應用服務器、媒體服務器、中繼網關、大容量用戶綜合接入網關等設備組成的網絡區(qū)域。該網絡區(qū)域設備面向大量用戶提供服務，安全等級要求高。

軟交換網絡外網區(qū)：由SIP終端、PC軟終端、普通用戶IAD等終端設備組成的網絡區(qū)域，該網絡區(qū)域設備放置在用戶側，面向個人用戶提供服務。

內網區(qū)和外網區(qū)的互通，通過信令媒體代理設備實現(xiàn)，信令媒體代理設備除進行外網區(qū)終端訪問軟交換和網關設備的信令、媒體轉發(fā)之外，同時在安全方面應具有以下功能：

1．設備應能支持基于SIP、MGCP和H．248協(xié)議的應用層攻擊防護。

2．設備應能對異常消息、異常流量等高風險行為進行識別并產生實時告警，供維護人員作進一步處理。

3．對于以下情況，設備應能進行識別并按照預定策略進行處理。

（a）應能根據(jù)用戶注冊狀態(tài)進行消息的處理，對未注冊用戶發(fā)送的非注冊消息進行丟棄處理；

（b）設備應能對注冊鑒權失敗的用戶終端建立監(jiān)視列表，記錄IP地址／端口和用戶名，并能采取相應措施。

．設備應具有防常見DoS攻擊能力。

網絡隔離

把NGN與其他網絡進行物理隔離，即在物理上單獨構建一個獨立的網絡，可以有效規(guī)避外部攻擊，但是這種建網與維護成本顯然較高，所以這種方法并不可取。近年來，隨著VPN技術的成熟，在同一個物理網絡上構建不同的VPN已經實際可行，可以采用MPLS、VLAN等VPN技術從分組數(shù)據(jù)物理網絡中劃分出一個獨立邏輯網絡作為NGN虛擬業(yè)務網絡，把NGN從邏輯上與其他網絡進行隔離，其他網絡用戶無法通過非法途徑訪問NGN網絡，將可以避免來自其他網絡特別是Internet網絡上用戶對NGN網絡的攻擊與破壞。

數(shù)據(jù)加密

為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽，可以采用目前互聯(lián)網上通用的數(shù)據(jù)加密技術對信令流和媒體流進行加密。

對于IP網絡上的信令傳輸，目前提出的主要安全機制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范（RFC3015）中，指定Megaco協(xié)議的實現(xiàn)要采用IPSec協(xié)議保證媒體網關和軟交換設備之間的通信安全。在不支持IPSec的環(huán)境下，使用Megaco提供的鑒權頭（AH）鑒權機制對IP分組實施鑒權。在Megaco協(xié)議中強調了如果支持IPSec就必須采用IPSec機制，并且指出IPSec的使用不會影響Megaco協(xié)議進行交互接續(xù)的性能。IPSec是IPv4協(xié)議上的一個應用協(xié)議，IPv6直接支持IPSec選項。

對于媒體流的傳輸，采用對RTP包進行加密，目前主要采用對稱加密算法對RTP包進行加密。

對于用戶賬號、密碼等私有信息，目前采用的加密算法主要是MD5，用于用戶身份的認證。

訪問控制

★接入用戶身份認證

軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網絡時必須經過嚴格的認證，確認用戶的身份后才允許用戶接入NGN網絡。

用戶接入認證時可以采用保密強度比較高的公開密鑰體系來進行，以保證用戶身份的可靠性。NGN系統(tǒng)認證確認用戶身份接入NGN網絡后，可以把用戶標志、IP地址等信息進行綁定并記錄到網絡安全日志中。這樣一旦用戶的身份在接入時得到了確認，即使個別用戶進行網絡破壞也很容易通過網絡的安全日志迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶側發(fā)起網絡攻擊而導致的網絡安全問題。另外，可以強制軟交換或終端網管設備對終端的IP地址、MAC地址與終端標志進行匹配，當終端標志正確，但是IP地址或MAC地址不正確時，也不予提供接入和服務。

★訪問控制

1．設備管理控制臺訪問

控制臺是設備提供的最基本的配置方式。控制臺擁有對設備最高配置權限，對控制臺訪問方式的權限管理應擁有最嚴格的方式。包括：用戶登錄驗證、控制臺超時注銷、控制臺終端鎖定。

2．異步輔助端口的本地、遠程撥號訪問嚴格控制通過設備的其他異步輔助端口對設備進行本地、遠程撥號的交互配置，缺省要求身份驗證。

3．TELNET訪問嚴格控制Telnet訪問

用戶、缺省要求身份驗證，以及限制Telnet終端的IP地址，限制同時Telnet用戶數(shù)目等。

NGN網絡安全建議

NGN網絡，如何構建安全的下一代網絡？

根據(jù)前面的論述，為了保證所構建的NGN網絡的安全性，必須做到以下幾點：

1．在網絡關鍵設備前放置防火墻和信令媒體代理設備，防止對網絡關鍵設備的攻擊；

2．把NGN與Internet等其他網絡進行隔離，保證除NGN設備和用戶外其他用戶無法通過非法途徑訪問NGN；

3．對用戶與軟交換交互的信令消息進行加密，確保無法被非法監(jiān)聽；

4．在接入層對用戶接入和業(yè)務使用進行嚴格控制，用戶必須經過嚴格的鑒權和認證才可以接入NGN網絡，用戶的業(yè)務使用也必須經過嚴格的鑒權和認證。

軟交換、應用服務器和各種網關設備組成封閉的MPLSVPN網絡，對于內部大客戶可以通過專線直接接入，其他非信任區(qū)域的終端用戶只能通過信令媒體代理設備訪問，同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接入，對終端標志、IP地址、MAC地址進行認證。

總之，下一代網絡的安全保證是一個系統(tǒng)工程，使用任何單獨的技術都無法完成這個任務，只有綜合運用加密、認證、防攻擊等各種安全保障手段，并且相互配合才可以構建一個安全的下一代網絡

【編輯推薦】

1. 梭子魚：構建企業(yè)網絡高效方程式
2. 企業(yè)如何構建綠色數(shù)據(jù)中心
3. 北塔為人大構建校園整體網絡管理解決方案
4. 深信服廣域網加速助力海關構建高效辦公網絡