计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            行数据转发的，所以使用正确的路由器服务，减少不需要的服务，促进路由器高
            速运行。
                 2. 汇聚层的网络安全
                 汇聚层是保护网络安全运行的重要层次，通过合理有效的方式管理网络，
            可以作为城域网中的管理层。为保证汇聚层能安全正常地操作，从接入网设备和

            各种类型用户这两方面进行分析，需要做到以下几点。
                 第一点是接入网设备的安全，利用 ACL 控制接入网设备的访问，增加对汇
            聚层端口的检查控制，以达到对连接汇聚层的接入网设备的控制，确保接入网设

            备的安全。
                 第二点是宽带小区设备的安全，为确保宽带小区网络设备的正常安全运行，
            需要采取以下几点措施：调整 BAS 的部署方案，将 BAS 边缘化，对 VLAN 设置
            下的用户数量加以控制，降低网络危害的出现，优化网络系统，从宽带接入服务
            器中体现出 QINQ 技术的特征，减少汇聚层中虚拟局域网的传播，因此 BAS 需要

            采用双上行的方式保护网络安全；利用 BAS+AAA 验证服务器检验网络用户的身
            份，防止账号被盗情况的出现，帮助网络用户准确定位；绑定 PPPOE 拨号用户
            对 VLAN、端口及用户账号的设置，以防非原有用户对原有网络用的账号和密码

            进行盗取使用，同时也可以对上网用户位置进行准确定位；为了防止用户账号出
            现非法共享和漫游资费的情况，需要宽带接入服务器和个人用户账号在 radius 设
            备中进行圈定；依据 BAS 的内存和实际情况决定保留流量数据的多少，并控制
            使用 BAS 设备的用户数量，以保证网络安全正常地运行。
                 第三点是从宽带专线用户方面，采取相关安全措施，对此可以做到以下几点：

            控制用户端口连接的数量，以防止外界危害的入侵；圈定使用用户的基本信息，
            确定网络用户的位置，阻止非法网页的入侵；设置 ACL 设备的控制列表信息，
            通过对外界网页进行多层次的过滤，减少对网络设备的危害，并阻止危害网页消

            息的出现，确保网络更安全。
                 3. 接入层的网络安全
                 通过对接入业务、宽带上网业务和 VPN 业务进行接入，以降低网络使用者
            对网络造成的危害。其主要连接方式是 XDSL、LAN 和 WLAN 这三种，从用户的
            网络安全进行分析，得出以下两点措施。一方面是阻止用户侧端口的接入，利用

            物理隔离和逻辑隔离这两种方式进行网络隔离。其物理隔离主要使用的是单主板


              14
              14