网络安全设备范文第1篇

（中国卫星海上测控部，江苏 江阴 214431）

【摘　要】在距离远、范围广、信道多样的通信IP网中传输密级高的重要数据，使用基于IPSec VPN技术能很好的防止数据被更改或窃取，维护数据的安全性与完整性。简要阐述了IPSec协议的相关原理，设计了一种基于IPSec的网络安全设备，并对该设备进行了应用研究。

关键词 IPSec；ESP；VPN；网络安全设备

0　引言

TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分，但网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网，网络的安全性尤其重要。

IPSec（Internet Protocol Security）在IP层提供安全服务，使得一个系统可以选择需要的协议，决定为这些服务而使用的算法，选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。因此，采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。

1　IPSec概述

IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范，提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力，保证了IP数据报的高质量性、保密性和可操作性，它为私有信息通过公用网提供了安全保障。通过IKE（IPSec Key Exchange,自动密钥交换）将IPSec协议简化使用和管理，使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN（Virtual Private Network，虚拟专用网）网关具有数据安全性、完整性、成本低等几方面的优势。

使用IPSec协议是用来对IP层传输提供各种安全服务，主要包括两种安全协议，即AH（Authentication Header，验证头）协议和ESP（Encapsulating Security Payload，封装安全载荷）协议。AH协议通过使用数据完整性检查，可判定数据包在传输过程中是否被修改；通过使用验证机制，终端系统或网络设备可对用户或应用进行验证，过滤通信流，还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密，为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下，ESP协议安全性更高，与此同时其实现复杂性也较高，本文设计的网络安全设备采用ESP协议。

2　网络安全设备设计

2.1　设备加解密原理

为确保重要数据传输安全可靠，需在通信IP网中增加保密措施，因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能，包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能；硬件模块主要完成数据处理层面的功能，包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能，设备加密工作原理如图1所示。

当设备收到用户IP包时，先判断其是否为保密数据，如果是，则在该IP数据前加入一个ESP头，然后发送到公网。ESP头紧跟在IP头后面，ESP占用IP协议标识值为50。对IP包的处理遵守以下规则：对于要发送到公网的IP包，先加密，后验证；对于从公网上收到的IP包，先验证，后解密。

当设备要发送一个IP包时，它在原IP头前面插入一个ESP头，并将ESP头中的下一个头字段改为4，根据密钥管理协议协商得到的SPI（Security Parameters Index，安全参数索引）值填入到ESP头中，并分配一个序列号，同时根据算法要求插入填充字段，并计算填充长度。在ESP头的前面插入一个新的IP头，源地址为设备的IP地址，目的地址为对端设备的IP地址，并对相应的字段赋值，在做完以上处理后，对IP包加密，并进行验证，将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。

远端设备接收到一个ESP包后，首先检查这个包是否有相关的SA（Security Association，安全关联）存在，如果不存在，则将该包丢弃。如果存在，则进行下一步处理。首先检查序列号，如果序列号无效（一个重复的包），则将该包丢弃。如果有效，则进行下一步处理。根据对应的SA对这个包进行验证，并将验证结果与IP包中的验证字段比较，若不一致，则丢弃，若一致，下面就进行解密，并根据填充内容来判断解密是否正确，因为填充数据可以通过约定事先知道。在验证和解密成功后，就对IP包进行初步地有效性检验，这个IP包的格式与SA要求的工作模式是否一致，若不一致，则丢弃该包，若一致，就准备从ESP包中解出原IP包，删除外面的IP头和ESP头，然后检查这个IP包与SA所要求的地址和端口是否符合，若不符合，则丢弃，若符合，则设备将该IP包转发出去。

2.2　硬件结构设计

网络安全设备采用模块化的设计思路，各硬件功能模块之间采用接插件方式连接，各模块的连接关系如图2所示。

设备主板是数据处理核心模块，其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统，承载设备嵌入式软件，全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。

接口板包括用户口和网络口两块接口板，通过高速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。

IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入，本地控制接入。

3　VPN构建

网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密，可以支持大多数用户业务，对局域网重要数据进行加密保护，通过公共通信网络构建自主安全可控的内部VPN，集成一定的包过滤功能，使各种重要数据安全、透明地通过公共通信环境，是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处，通过对IP数据的加解密，可以保证局域网数据在公共信道上传输的安全性。

与设备相连的内部网受到IPSec保护，这个内部网可连入不安全的公用或专用网络，如卫星通信、海事和专用光纤等。在一个具体的通信中，两个设备建立起一个安全通道，通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网，就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时，源端网络安全设备通过IPSec对数据包进行封装，封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商，收端网络安全设备知道发端所使用的加密算法及解密密钥，因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机，反之亦然。

4　结束语

在设计网络安全设备时采用IPSec协议，使用ESP对传输的数据进行严格的保护，可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取，确保数据传输的安全性。

参考文献

［1］蓝集明,陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展,2009,11(19):15-17.

［2］郭旭展.基于IPSec的VPN安全技术研究[J].电脑知识与技术,2009,8(24):52-54.

［3］蹇成刚.IP分组网络安全分析及IPSec技术[J].计算机与网络,2010,17:42-43.

网络安全设备范文第2篇

关键词：计算机网络 设备 维护 安全防范

中图分类号：TP393.08 文献标识码：A 文章编号：1672-3791（2013）07（c）-0032-01

保养和维护好计算机，不仅可以使计算机保持较稳定的工作状态，还能最大限度地延长计算机的寿命。从原理和结构看，计算机是一个很复杂的系统，正是这种系统的复杂性决定了它的脆弱性各类故障频繁发生，但大部分计算机故障都是因平时维护不当、误操作、病毒感染、设备不当等原因引起，我们只要掌握了一定的计算机软、硬件的基本知识来排除一般技巧和一些工具软件的基本使用方法，就能独立解决计算机及应用中常见的问题。

1 维护计算机网络安全的措施

1.1 养成正确安全的软盘使用习惯

在计算机之间进行交换信息、个人保存信息当中，软盘起到媒介的作用，得到广泛的应用，同时也让病毒设计者最为主要的攻击目标。

许多病毒在活动时一旦检测到有软盘插入了驱动器，就会立即活动起来，设法把自己的代码复制上去。为减低这种危险，我们应该注意使用软盘的“防写入”功能，一般情况下，总把“防写拨块”拨到禁止写的位置。如果只是需要从软盘里把信息复制出来，那么就让它保持这种防写的状态。这样，即使所使用的计算机里有活动的病毒，它也无法进入软盘。当把个人需要的文件复制到公用的计算机时要注意这个方面的问题。当需要从其他的计算机上复制文件到自己的计算机时，我们要在使用时要提高警惕性，主要是正在运行的软盘可能已经被感染了，这种情况多半说明该计算机里有病毒存在，正在努力想把自己复制到我们的软盘上。

1.2 系统漏洞修补，杀毒软件及防火墙安装

在计算机的安全防护当中经常会运用到防火墙和杀毒软件这两个方面，而这两个方面在安全防护当中起到的作用也是不同的。只要有：第一，计算机与所连接的网络之间的软件纽带是防火墙，计算机安装了防火墙，只要是流入或是流出的所有网络信息都要经过防火墙。

使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。第二步，尽量不将程序性文件从一台计算机复制到另一台计算机。从以上分析可以看出，病毒传播途径主要是通过程序复制实现的，因此，计算机在使用的过程中应当尽量避免使用程序复制操作。如果必须要做程序复制，建议首先应该熟悉掌握计算的应用技巧。这样会降低计算机“污染程度”，公用的计算机通常存在高危的隐患，避免从高危计算机中复制程序。再把程序软盘的内容复制到自己的计算机，应该先用查病毒软件仔细检查后再做复制程序，确保计算机的正常使用。

1.3 谨慎进行网络的软件下载活动

随着计算机网络的发展，信息在计算机间传递的方式逐渐发生了变化，许多信息，包括程序代码和软件系统，是通过网络传输的，在这种信息交流活动中如何防止病毒是需要考虑的新问题。今天，许多网站存储着大量共享软件和自由软件，人们都在使用这些软件，使用之前要通过网络把有关程序文件下载到自己的计算机中。做程序的下载应该选择可靠的有实力的网站，因为他们的管理可能更完善，对所存储信息做过更仔细的检查。随意下载程序目前已经成为受病毒伤害的一个主要原因。

1.4 注意防止宏病毒和其他类似病毒的入侵

对于防御宏病毒的问题，存在着两个方面：第一，对于文件的提供方，只要可能，就不应该用Word文件作为信息交换的媒介。这方面已经有许多实际的例子，一些管理部门的通知，甚至是网络部门的通知都曾经带有宏病毒，实际上是给所有用户的“邮件炸弹”。从实际情况看，这些通知的格式简单，完全没有必要用Word做。第二，作为Word文件的接收方，应该警惕宏病毒，因为这类病毒普遍存在。微软公司对防范宏病毒提出的方案不是根本上修改其不合理设计，而是安装了一个开关，允许你设定Word的工作方式。Word在其菜单“工具/选项”的常规页里提供“宏病毒防护”选择项。如果你选了此项，那么在被打开的文件中出现宏的时候，Word将弹出一个会话框，通知你这个文档里发现了宏，要求你做出选择（取消宏/启用宏）。实践证明，这种方式是很不安全的，“美莉莎”病毒泛滥就是因为许多人想也没想，就随手打开了宏，于是自己的计算机就被病毒占领了。在目前情况下，我们应该采取的措施是：（1）一定要设置“宏病毒防护”功能。（2）对于准备阅读的任何Word文档，只要系统弹出对话框，询问如何处理其中的宏时，我们应该总选“取消宏”，除非明确知道这个文档有极其可靠的来源，而且确实是一个使用了宏功能的动态文档。

2 计算机网络安全管理与防范方法

2.1 及时安装漏洞补丁程序

安全漏洞是软件、硬件、程序缺点、功能设计或者配置不当等可以在攻击过程中利用的弱点。软件中没有漏洞和缺陷是不可能。病毒和黑客往往是利用软件漏洞对网络用户进行攻击。为了纠正系统程序中存在的漏洞时，软件厂商经常会补丁程序。我们应及时安装漏洞补丁程序，防止黑客通过漏洞给我们带来的威胁。

2.2 入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够为系统提供实时入侵检测的新型网络安全技术，不管是来自内部网络的攻击还是外部网络的攻击它都能够对付。

2.3 防火墙技术

任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

2.4 数据加密技术

数据加密技术是保证数据安全性和保密性的一种方法。根据一定的算法对信息进行重新编码，隐藏原始信息的内容，保护真实信息不会落入非法用户手中。合法用户使用数据是再根据相应的算法进行解密。

3 结语

综上所述，及时备份有计算机中价值的信息。如果计算机被病毒感染了，我们最后的希望就是系统里的重要信息最好不丢失。在重要信息保护方面，可以考虑把重要信息的副本保存到有关网络服务器上，或者保存到软盘上。保存信息副本不仅仅是防病毒的需要，也是为了防止计算机系统的无意破坏，例如硬件或者系统软件的故障等。有备无患。对于重要的部门单位，重要计算机中的数据，人们一般需要制定一套常规的备份方案，通过一些设置，大型计算机系统可以定时自动地完成将磁盘重要信息保存到后备存储，例如磁带或者可读写光盘的工作。这些情况也值得个人计算机的使用者参考。

网络安全设备范文第3篇

关键词： 流控设备； P2P流量； 安全质量

中图分类号： TP393.18 文献标识码： A 文章编号： 1009-8631（2012）04-0089-02

P2P是目前互联网上广泛流行的网络技术，随着铁通公司业务的不断发展及通信网络的逐步扩张，P2P对铁通网络安全质量的影响也逐步显现，包括造成高峰时段网络拥塞、丢包以及传统互联网业务如http、ftp及qos等敏感业务网络质量及用户感知下降，用户投诉率增加等。因此充分利用流控设备，有效发挥并发掘流控设备的功能，对P2P流量实施监控、分类和标识P2P业务、实现合理控制已成为铁通公司着手解决的重点问题之一。目前铁通陕西分公司对P2P的流量的监控管理主要依托华为公司的SIG9280E设备，围绕限制P2P下载，控制P2P传输，实现对网络流量进行削峰填谷、改善用户体验、保证重要业务应用。下面介绍一下铁通陕西分公司在P2P流控方面的一些做法。

1 P2P业务对网络质量的影响分析

1.1带宽拥塞

网络出口流量的主要特点一是突发性、时段性明显，特别是晚上21：00流量、假日下雨时段流量较大，对网络质量压力较大，如图1－1某日出口流量日分时曲线，从中可以反映出流量分时的特点。图1-2反映出7月30、31日休息日及下雨时流量增加。在峰值时段，由于总带宽有限，各类应用抢占资源，部分关键性应用安全质量受到限制，造成网络拥塞及带宽饥荒。特别是业务量的对称性，存在上行拥塞可能。以前个人用户的下行流量（从Internet 到个人用户）远远大于上行流量（从个人用户到Internet）。而由于P2P 技术在下载的同时，也需要上传，个人用户的下行流量和上行流量都很大，导致网络的极度拥塞，使用户感知网速慢。

1.2 P2P流量过载

P2P流量在总流量中占有很大的比例。从图1－2日流量统计P2P流量占比图可以看出，P2P流量已经占到总流量的65%，而最常用的HTTP流量只占到25.5%。从时间段上，P2P业务与用户使用计算机时间一致，对用户超额使用没有控制，用户与应用的优先未划分，没有确保用户之间使用的公平性，造成部分用户超额使用，加剧了高峰时间的网络拥塞。P2P流量对网络带宽的占用导致其它业务无法正常使用，为保证关键业务的使用就必须扩容网络，增加了维护成本。

虽然短期可以通过扩容出口解决高峰期间网络拥塞问题，但如果不加以控制并采取精细化的管理手段，并不能从根本上解决高峰时段日益加剧的出口瓶颈问题，同时也会造成维护成本的急剧增加。必须对出口流量进行监控分析，利用，采用P2P流量控制技术有效改善网络资源的使用，限制 P2P 流量，确保正常业务的带宽资源，是控制网络运营成本提高网络质量的根本方法。通过对带宽的分时规划，在带宽使用的峰值时段采取紧缩的 P2P 流量策略，保障网络畅通及关键业务的正常使用，是保障网络服务质量的一条途径。

2流控设备在网络安全质量方面的主要方法应用

目前铁通陕西分公司结合SIG9280E流控设备的功能，在保障网络安全质量方面主要使用了“流量分析”、“P2P监控”两项功能，并采取差异化的流控策略，下面具体介绍一下实施策略及方法。

2.1对P2P流量进行监控分析

2.1.1流量分析

首先通过“流量分析”模块的报表统计功能，对流量分时段、区域、协议、业务进行统计，通过数据对比，分析峰值流量与出口总带宽之间的关系，确定是否存在出口瓶颈，是否需要扩容并采取流控措施。

2.1.2 P2P监控

2.1.3质量分析

每日对出口质量进行监测分析，确定网络质量是否存在问题。

2.2在出口发生故障时根据不同时段流量采取不同的P2P限制，保障网络质量不受影响或者减少影响范围

2.2.1在出口中断倒代时根据流量监测结果实施SIG限制

出口中断时间在22:31-23:59，8:00-19:29时段，中断出口实际流量≤1G时，将流量倒至相应第三方出口，将流量倒至其它带宽较大的出口，优选2.5G出口及链路聚合出口，通过SIG将需倒至的出口P2P流量压缩500M，若出现饱和，则将部分流量再倒至其它第三方出口；中断出口实际流量＞1G且≤2G，通过SIG将需倒至的出口P2P流量压缩1G，监测倒至出口的流量，若出现饱和，则将部分流量再倒至其它第三方出口，并对其P2P流量进一步限制；中断出口实际流量＞2G，先将流量倒至第三方出口，再按需将部分流量倒至总部，将流量倒至其它带宽较大的第三方出口，优选2.5G出口及链路聚合出口，通过SIG将需倒至的出口P2P流量压缩2G，若倒至的第三方出口流量饱和，则将部分流量倒至总部出口。

出口中断时间在19:30-22:30忙时时段，根据中断出口实际流量≤1G、中断出口实际流量＞1G且≤2G、中断出口实际流量＞2G，将流量倒至相应第三方出口、再按需将部分流量倒至总部，将流量倒至其它带宽较大的第三方出口，优选2.5G出口及链路聚合出口，通过SIG将需倒至的出口P2P流量分别压缩500M、1G、2G，监测倒至出口的流量，若倒至的第三方出口流量饱和，则对P2P流量进一步进行限制直至全部限制。

出口中断时间在0:00-7:59非忙时时段，将流量倒至其它带宽较大的第三方出口和总部出口不进行P2P流量限制。

2.3根据出口类型进行限制

根据不同出口不同时段中断类别，查看SIG平台P2P限制策略及实际P2P流量，估算中断出口除P2P流量外的普通业务流量，根据中断出口估算的普通业务流量，在SIG平台上选择一个或几个带宽较大的出口的P2P流量限制到最低（优先选择北京2.5G-1或2），将中断出口的流量倒至此出口。

2.4根据部署位置进行P2P限制

针对骨干网、城域网出口按电信、联通出口采用分时限制策略。

2.5根据应用进行P2P限制

封堵其他网络管理软件无法封堵的迅雷、超级旋风、网际快车等P2P应用，在干扰策略管理方面主要运用了组分时策略管理。

3 流控取得的成效

3.1降低带宽峰值减少出口租费，移峰填谷

在不增加总出口带宽的情况下，通过设置策略，分时限制P2P流量，保持流量趋势平坦，保障用户的基本应用不受影响。

3.2在现有网络中增加承载更多用户

通过实施P2P有效控制，在保障现网用户及满足用户感知质量未下降的情况下，未进行出口扩容，增加了既有网络的承载能力。

3.3降低用户投诉，减少用户流失

虽然P2P流量在出口流量统计中占大部分，但真正影响用户感知且要求较高排在前面的仍然是http（网页浏览）、IM（即时通讯）、file_access_protocol（文件访问）、bobile、video、voip、game等，因此，通过有效控制P2P流量，完全可以提升敏感业务质量，进而降低用户投诉，减少用户流失。

3.4控制网络资源保证大部分用户的使用体验，增加了用户满意度

通过对P2P业务的有效控制，一方面保障了出口带宽摊分利用率指标的控制，同时减少了网络出口扩容的压力，充分利用了现有网络资源，保障了用户使用体验，增加了用户满意度。

网络安全设备范文第4篇

关键词：软交换；网络安全；安全域

引言

目前，IP网络已经普遍被认为是下一代网络的核心，是下一代网络的主要承载技术。但是，这种承载着多种业务的IP网络，有别于传统的Internet或企业局域网路，由于IP技术与生俱来的自由基因与电信产业的严谨作风存在着深刻的矛盾，如何解决安全和QoS是两个最根本的问题，提供不低于传统电话网络的安全等级，才能确立IP技术在承载网的主导地位。

1.网络安全问题解决策略

对IP网络安全问题的讨论是以传统电信网络为参照的，对于能够提供不低于或者接近传统电信网络的安全等级，即认为是安全的。

解决软交换系统安全问题一方面加强软交换系统核心设备软/硬件的安全性设计，采用备份冗余机制，另一方面采用隔离的方式，将软交换系统核心网络与外部隔离开来，提高核心设备防御外部攻击的能力。这其中隔离是软交换系统部署中解决系统安全性的重要手段。

2.网络安全域划分

软交换网络由大量网络设备、软交换终端以及运维、网管设备等组成，网络侧及运营、网管设备一般由专人管理和控制，安全性有一定的保障，而终端设备则位于用户侧，安全性毫无保障，软交换网络的安全需要将网络划分为不同的安全域，针对不同的安全域给出合适的安全方案。可以分为如下3种：

（1）安全级：该网络区域是安全的，该区域被攻击的可能性很小；

（2）信任级：该网络区域是不安全的，但可通过组网方式构建一个相对安全地信任区域；

（3）非安全级：该网络区域是不安全的，需要通过软交换网络特定的安全措施来保证安全性。

按照软交换网络设备和用户终端在软交换网络中所处的位置以及所具有的不同安全等级将软交换网络分解成多个安全域，通过将软交换网络划分为不同的安全域，以及明确不同的安全域的特点和要求，提供有针对性的安全解决方案。专网软交换安全域划分如图1所示。

如图1所示，专网软交换系统可划分为下列5个网络域：

（1）核心网络域：网络域包括软交换网络的核心部件设备及网管等运维设备，是软交换网络安全保护的重点，安全性取决于实际网络中的组网情况，对应的安全级别为信任级；

（2）窄带PSTN网络域：窄带PSTN 网络域即现有的SCN/IN/STP网络，安全性是最高的，对应的安全级别为安全级；

（3）PSTN用户接入域：由于接入方式为窄带接入，所以，该域和窄带PSTN网络域相同为安全级；

（4）局域网IP用户接入域：该区域的安全性通常无法得到保证，安全级别为非安全级；

（5）广域网IP用户接入域：该域显而易见的是无安全保证的区域，该区域对应的安全级别为非安全级。

3.各网络域安全策略

3.1核心网络域

网络域的安全需要网络安全技术作为基础，并以设备的安全和可靠性为补充，共同来保证。

核心网络域处于信任级，该域要求避免受到来自网络层和应用层报文的攻击，需要在网络域和其相邻域之间部署防火墙设备。

   由于核心网络域的设备为系统提供了核心的业务，为了避免某个设备的故障影响整个网络的正常运作，该域的设备需要从设备组网和设备本身2个方面考虑业务的安全性。

3.1.1 　核心网络域承载网安全策略

（1）承载网的安全核心-----隔离

在技术能力不足以满足要求的情况下，采用物理专网模式或逻辑专网模式组网隔离往往是最有效的策略。物理隔离，指的是新建专网的核心网承载软交换业务；逻辑隔离是指采用VLAN、VPN等技术，从逻辑上将软交换业务同其他业务隔离。在应用中，根据业务要求，选择合适的组合组网模式。核心网络域物理和逻辑隔离方法如图2所示。

（2）承载网安全的保证-----冗余

  　核心的IP网建设建议采用全网状、半网状的互联组网，要求路由具有备份功能，边缘路由器和网关设备通过双归属的方式跟核心骨干网互联。

  　核心层双平面组网，平面内采用全网状连接，A、B平面间设置高速通道，A、B平面的设备及链路采用全对称设计，单一平面按照承载全业务量设计。

骨干层全网、半网、环网组网，任何两个路由器之间都有冗余的若干条通道，防止某一个路由器或者链路故障对网络业务造成影响。

为了保证网络的安全和可靠性，可以考虑如下4个方面技术实现：

（1）通过网络设计，采用节点设备间对称连接、备份路径预先设定，为快速切换提供网络拓扑基础；

（2）采用节点间部署快速检测机制APDP/BFD，迅速检测链路和节点故障；

（3）通过IP/LDP/TE FRR技术切换到预先设定的备用链路，无需路由协议收敛重新选路；

（4）切换结束后，通过IGP快速路由收敛到已经切换的链路。

3.1.2　核心网络域设备级安全策略

软交换采用双归属组网，该方案能实现倒换不断话，话单不丢失。

电信级硬件平台、双电源供电，双组风扇散热、双机箱管理，所有单板负荷分担或主备用，所有单板热插拔、设备支持双网口主备用。

完善的机箱管理功能，保证整个机箱正常工作，及时发现机箱故障，完备的机箱告警内容及快速的故障恢复机制。

主备用数据库，主用库在配置过程中出现错误的情况下快速切换到备用数据库，对备用数据库的修改不会影响到正在使用的主用数据库。

   多级别负载控制，在业务承载能力达到极限时保证重要业务的安全提供。

完备的协议安全机制：SCTP协议保护机制保证SCTP偶连的安全性，H248、MGCP IPSEC加密、SIPDIGEST鉴权及信令加密、完整的H.235鉴权加密，媒体流SRTP加密传输。

一对信令网关（Signaling Gateway,SG）实现负荷分担、链路互动，保证可靠的信令转接；将每个信令网关分别配置在软交换机的两个中继组中，采用信令组的冗余机制合理使用2个信令网关。

为了防止用户终端设备直接访问核心设备，需要增加SBC对语音业务做，同时SBC设备冗余部署、采用防火墙对SBC加以保护。

3.2　IP用户接入域

用户接入域位于安全级别最低业的用户终端网。由于需要为用户提供接入功能，所有的用户都可以访问到该域的网络，该域的网络处于安全程度最低的非安全级。

   SBC接入用户，通过SBC将众多的电话用户和软交换机隔离开，并实现多 种功能，包括私网话音用户接入、提高业务QOS等等。SBC设备可冗余部署。

IPSEC VPN接入，对通过Internet接入的单位或者个人，可以采用VPN的方式接入总部的VPN服务器，建立于总部之间的VPN加密隧道来保证信令和媒体的安全。

3.3 窄带PSTN网络域

窄带网络域在软交换网络安全域模型中属于安全区域，不存在突出的安全性问题。

4.结束语

目前，软交换技术日臻成熟，专网软交换逐步推广，因此，研究和解决其安全问题将有助于其在特殊领域的推广和应用。

参考文献：

网络安全设备范文第5篇

关键词　网络安全　企业网络　电子政务　网络安全管理

一、引言

在电子政务和电子商务应用快速发展的今天，信息安全问题越来越突出。据权威统计显示，80％以上的企业内部网络曾遭受过病毒的肆虐，60％以上的企业网站受过黑客的攻击，因此企业网络安全的形势相当严峻。深入分析企业网络可能存在的问题和正在遭受的安全威胁，是设计安全方案的前提，只有了解企业环境和面临的问题，才能发现并分析企业网络所处的风险环境，并在此基础上提出可能的安全保障措施。这是解决企业网络安全问题的关键，也是设计面向企业的网络安全体系的前提，它能使我们有的放矢地采用安全防范技术和安全措施。网络是整个企业信息资源的基础，也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计，安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分。网络设备个体作为网络的最基本构成，其个体的安全关系重大，往往个别设备的安全漏洞或者错误的配置，就可能造成网络的中断或者瘫患。所以最后从网络设备个体的角度出发，介绍了如何有针对性的采取有效的安全措施。

二、企业网络模块化构成

随着企业的不断壮大，企业网络发展要求也日益提高，因此本文在设计网络安全体系结构时，采用了模块化的方式。即将企业的网络划分成不同的功能模块，在整体网络安全设计时实现网络各功能块之间的安全关系，同时，也可以让设计者逐个模块的实施安全措施，而并不需要在一个阶段就完成整个安全体系结构。

我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中，企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化，这些模块在网络中扮演特定角色，都有特定的安全需求，但图中的模块规模并不代表其在实际网络中的大小。例如，代表最终用户设备的接入层网络可能包括80％的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块，但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中，可能有些模块不存在，或者两个模块相合并了，也可以根据后面的安全设计方式结合实际，找到安全解决方案。

三、网络安全管理模块的设计

从体系结构的角度来说，提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。带外是指无生产信息流驻留的网络，设备应尽可能的与这样一个网络建立直接本地连接，在由于地理原因或系统相关问题无法实现的情况下，设备应经由生产网络上一条专用加密隧道与其连接。这样的隧道应预先配置，仅在管理和报告所需的特定端口上通信。整个企业管理网络模块由一个防火墙和一个路由器分成两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的路由器。其余的接口接到生产网络，但仅用于接收来自预定义主机、受IPSec保护的管理信息流。两个管理子网均在完全与生产网络的其余部分独立的IP地址空间下运行。这可以确保管理网络不受任何路由协议的影响。另外，SNMP管理仅从设备获取信息而不允许更改，即每个设备仅配置“只读”字串。

当然，完全的带外管理并非总是可行的，可能因为部分设备不支持，或者有地理差别，需带内管理。当需要带内管理时，注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时，应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。

主要设备：SNMP管理主机――提供SNMP管理；NIDS主机――为网络中所有NIDS设备提供报警集中；系统日志主机――几种防火墙和NIDS主机的记录信息；接人控制服务器――向网络设备提供一次性、双因素认证服务；一次性口令(OTP)服务器――授权从接入服务器转接的一次性口令信息；系统管理主机――提供设备的配置、软件和内容变更；NIDS应用――提供对模块中主要网段的第4～7层监控；防火墙――对管理主机和受控设备间信息流动的控制；第2层防火墙(带专用VLAN支持)――确保来自受监控设备的数据仅可直接传输到防火墙；

所缓解的威胁：未授权接入――在防火墙处的过滤中止了两个方向的大多数未授权信息流；中间人攻击――管理数据穿过专用网络，使中间人攻击较为困难；网络侦察――因为所有管理信息流穿越此网络，它不通过有可能在其中被截获的生产网络；口令攻击――接入控制服务器使每台设备都拥有强大的双因素认证；IP电子欺骗――在防火墙两端均中止了欺骗流量；分组窃听――交换基础设施限制了窃听的有效性；信息管理利用――专用VLAN可防止任何一个受破坏的设备伪装成一台管理主机。

四、统一管理平台的系统架构设计

由于目前企业网络中各种厂商的网络设备越来越多，仅仅利用个别设备厂商的网络管理软件(如Ciscoworks 2000等)很难完全达到上述的种种要求，因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备)，要么利用第三方厂商开发的网络管理软件，通过各种客户化和集成工作，将不同厂商的设备更好的管理起来，作为搭建网络安全管理平台的主要工具。

统一管理平台的基本构架设计分为三个层面：视图(Wodd View)、企业管理(En-terprt’se Management)、客户端(Ageats)，其中：World View显而易见是提供图形化界面的应用程序，将管理对象的信息通过图形(二维图或者三维图)的方式形象的呈现给用户；企业管理层则通过智能化的手段，来提供处理各种信息、安全、存储、工作计划、事件管理等的复杂功能，这部分是整个平台的关键，可能包括了事件管理、故障管理、性能管理、网络发现等多个功能模块；客户端可以看作是一些系统进程或者内嵌代码(比如各种SNMP信息，MIB库信息)，用来监控各种系统资源，比如操作系统、数据库、网络设备等等。客户端可以从管理层面接受各种指令进行操作，或者向管理层上报相关的系统状态。

从各个部分的数据交换方式可以看出，其中DSM(Distributed State Machine)负责管理各种客户端。CCI(common Commu―nicafions Interface)是一个为系统管理平台内部特有的独立于网络协议的接口，负责协调内部各个管理组件的数据通讯。还可以简要看出DSM通过SNMP的方式从各种客户端获取信息，信息经过处理汇总到数据库中，从而更新视图中每个被管理设备或者资源的状态。