邊界隔離

• 　防火墻隔離

　　軟交換網(wǎng)絡關鍵設備如軟交換、應用服務器和網(wǎng)關等放置在IP網(wǎng)絡上，相當于IP網(wǎng)絡上的主機，存在著被攻擊的危險，為保證關鍵設備的安全，需要在重要的網(wǎng)絡設備前面放置防火墻以保證軟交換核心網(wǎng)絡設備的安全。

• 接入用戶身份認證

　　軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡時必須經(jīng)過嚴格的認證，確認用戶的身份后才允許用戶接入NGN網(wǎng)絡。
　　根據(jù)前面的論述，為了保證所構建的NGN網(wǎng)絡的安全性，必須做到以下幾點：

1. 在網(wǎng)絡關鍵設備前放置防火墻和信令媒體代理設備，防止對網(wǎng)絡關鍵設備的攻擊；



2. 把NGN與Internet等其他網(wǎng)絡進行隔離，保證除NGN設備和用戶外其他用戶無法通過非法途徑訪問NGN；



3. 對用戶與軟交換交互的信令消息進行加密，確保無法被非法監(jiān)聽；



4. 在接入層對用戶接入和業(yè)務使用進行嚴格控制，用戶必須經(jīng)過嚴格的鑒權和認證才可以接入NGN網(wǎng)絡，用戶的業(yè)務使用也必須經(jīng)過嚴格的鑒權和認證。

　　軟交換、應用服務器和各種網(wǎng)關設備組成封閉的MPLSVPN網(wǎng)絡，對于內(nèi)部大客戶可以通過專線直接接入，其他非信任區(qū)域的終端用戶只能通過信令媒體代理設備訪問，同時采用IPSec加密交互的信令消息。軟交換和信令媒體代理設備嚴格控制終端的接入，對終端標志、IP地址、MAC地址進行認證。

　　總之，下一代網(wǎng)絡的安全保證是一個系統(tǒng)工程，使用任何單獨的技術都無法完成這個任務，只有綜合運用加密、認證、防攻擊等各種安全保障手段，并且相互配合才可以構建一個安全的下一代網(wǎng)絡。

中國聯(lián)通網(wǎng)站