构建安全的下一代网络

　　边界隔离

• 　防火墙隔离

　　软交换网络关键设备如软交换、应用服务器和网关等放置在IP网络上，相当于IP网络上的主机，存在着被攻击的危险，为保证关键设备的安全，需要在重要的网络设备前面放置防火墙以保证软交换核心网络设备的安全。

• 接入用户身份认证

　　软交换终端用户特别是智能终端、PC软终端、桌面IAD等接入NGN网络时必须经过严格的认证，确认用户的身份后才允许用户接入NGN网络。
　　根据前面的论述，为了保证所构建的NGN网络的安全性，必须做到以下几点：

1. 在网络关键设备前放置防火墙和信令媒体代理设备，防止对网络关键设备的攻击；



2. 把NGN与Internet等其他网络进行隔离，保证除NGN设备和用户外其他用户无法通过非法途径访问NGN；



3. 对用户与软交换交互的信令消息进行加密，确保无法被非法监听；



4. 在接入层对用户接入和业务使用进行严格控制，用户必须经过严格的鉴权和认证才可以接入NGN网络，用户的业务使用也必须经过严格的鉴权和认证。

　　软交换、应用服务器和各种网关设备组成封闭的MPLSVPN网络，对于内部大客户可以通过专线直接接入，其他非信任区域的终端用户只能通过信令媒体代理设备访问，同时采用IPSec加密交互的信令消息。软交换和信令媒体代理设备严格控制终端的接入，对终端标志、IP地址、MAC地址进行认证。

　　总之，下一代网络的安全保证是一个系统工程，使用任何单独的技术都无法完成这个任务，只有综合运用加密、认证、防攻击等各种安全保障手段，并且相互配合才可以构建一个安全的下一代网络。

中国联通网站