由于信令防火墙业务功能主要
1)启动动态黑白名单信令处理机制,同时开启辅助配置策略;建议基于注册策略、呼叫策略、CAC策略主要可依据本文4.3章节:
2)在配置基于注册策略、呼叫策略、CAC策略防火墙时,建议考虑普通用户和企业用户之间的差异,进行针对性的配置,具体说明可见本文4.3章节。 2)畸形包防火墙,建议开启告警日志,可由操作人员手动添加至黑名单中。
3.3.2 网络拓扑隐藏
1、功能介绍
通过BAC隐藏IMS核心网和外部网络的所有拓扑结构信息,是的外部网络到IMS核心网之间的通路对两侧用户是完全透明的,从而有效阻止IMS核心网和外部网络彼此之间收到非法攻击,提供整个网络架构的安全。 网络隐藏主要有两种方式实现:
6)B2BUA(Back-to-Back User Agent,背靠背用户代理)模式,出网的SIP
消息中有关拓扑信息的头域被保存在本地,入网的SIP消息被加入本地保存的有关拓扑信息的头域,从外网看,出网的呼叫时由BAC发起的。 7)通过加密将需要隐藏的信息加密,是的外网无法获取相关信息。
2、现网使用建议
1)建议现网开启B2BUA模式应用网络拓扑隐藏功能。
3、对BAC处理性能的影响
无影响。
3.3 媒体层防攻击 3.3.1 针孔式防火墙
1、功能介绍
BAC能够根据信令协商的结果动态创建合法的媒体流信息(IP五元组)。五元组指的是源/目的地址,源/目的端口和协议类型。所有的媒体流都经过BAC,但是只有和IP五元组匹配的媒体流才能够被转发。未匹配的媒体流会被丢弃,从而实现对媒体流攻击的防范。当会话结束时,BAC释放媒体会话。通过这些处理,BAC提供了动态媒体针孔功能。
2、现网使用建议 无需配置,自动开启。
3、对BAC处理性能的影响 无影响。
3.3.2 对媒体报文类型和大小的检查
1、功能介绍
?
RTP报文大小的检查
RTP和RTCP报文的大小范围可以在BAC上进行配置,BAC会检查经过的媒体
报文的大小。如果媒体报文的大小不在这个范围内,BAC会认为为非法报文从而将它们进行丢弃。
?
RTP报文类型检查
有两种方法可以检查未RTP报文类型:一种是在BAC上配置需要检查的媒体
报文的类型,与配置的类型匹配的媒体报文会被丢弃;另一种是通过媒体层面和信令层面的配合,在一个具体的会话协商过程中,信令层通知媒体层对协商的媒体类型进行检查,然后媒体层对经过的媒体流的类型进行检查,如果检查的类型与指定的媒体类型不相匹配,这些媒体流将被丢弃。
2、现网使用建议 无需配置,自动开启。
3、对BAC处理性能的影响 无影响。
3.4 总结
BAC在关于安全防护方面,必须关注以下主要事项:
1) 关于ACL功能应用方面,主流设备厂家均支持“源地址”+“目的端口”的控制方式,由于现网部署IMS终端可能采用DHCP模式,建议ACL功能主要应用于BAC网管控制和业务端口控制等方面。
2) 关于信令层安全防护方面,建议“信令防火墙”功能需结合“动态黑白名单”功能共同使用,以实现信令层防DOS/DDOS攻击。
3) 关于安全防护功能应用对BAC性能的影响评估:根据与中兴、华为、阿朗等三家主流厂家技术交流,以及前期网发部组织厂验测试的情况来看,BAC所用安全防护全部开启后,消耗总负荷量的8% ~ 12%左右。请在实施BAC部署中,核算系统开销需加以注意。
四、业务功能
4.1 用户分组 4.1.1 用户分组说明
当用户优先级不同时,需要对不同用户进行不同程度的注册、呼叫和带宽限制。BAC可以根据用户的IP源地址或用户接入BAC 的IP地址(端口)区分用户群,对每个用户群,BAC分别设置并实施资源管理策略。对于特定用户群,BAC可设置其不受任何资源控制策略的限制。BAC可以对单个用户或者用户组群设置不同的接纳管理策略,因此需要结合用户和业务场景,综合考虑策略的制定。
用户分组定义:具有相同的一个或多个业务处理要求的用户集合。 在划分用户分组的基础之上,定义多个业务控制策略。根据当用户组的优先级和业务需要,将业务控制策略应用至用户组,对不同类型用户进行不同程度的呼叫接入控制(注册、呼叫和带宽限制)。同一个业务控制策略可应用在多个用户组上;同一个用户组可设置多个业务控制策略。
4.1.2 实施建议
1、BAC用户分组的实现方式:
1) 通过虚拟BAC分组,实现对用户接入的区分。
该方式实现机制:将一个物理BAC虚拟为若个逻辑BAC个体,每台逻辑BAC均配置独立的接入侧IP+端口地址。不同的用户群体通过不同接入侧IP地址接入BAC,从而实现在逻辑个体上用户分组能力。 2) 通过用户的IP源地址或用户号码,在BAC内部区分用户类别。
该方式实现机制:所用用户通过相同的接入侧BAC IP地址后,在BAC通过用户的IP源地址或用户号码,将接入用户划分为若干个用户群,在用户群内制定不同的使用策略。 2、现网BAC支持能力情况
厂家设备 支持虚拟BAC的支持源IP地址的支持用户号码的用用户分组 中兴BAC 华为BAC 阿朗BAC 支持 支持 支持 用户分组 支持 支持 不支持 户分组 支持 不支持 不支持 3、现网使用建议
由于现网部分省在用户接入侧使用DHCP IP地址分配机制,因此使用源IP地址的用户分组方式不具备可实施性;用户号码的用户分组现网只有中兴BAC提供能力,但由于用户号码存在动态变化,且BAC无法提供与BOSS系统的接口,因此现网不具备可操作性。
只有通过虚拟BAC的用户分组机制完全可提供用户层面大致的区分,从而实现差异化服务,且全网BAC实现可操作性较强。建议现网优先采用虚拟BAC的用户分组模式实现用户分组。
在实施过程中,对于用户分组的划分尽量不要过多,主要考虑到BAC容灾机制因素,设置过多虚拟用户分组,设置BAC容灾的数据配置将过于复杂。因此建议设置两个虚拟用户分组,即重要用户分组和普通用户分组。
4.2 媒体资源管理 4.2.1功能介绍
1、编解码检查功能
BAC设置允许的媒体类型(音频、视频)和编解码类型,不在规定范围内的媒体类型和编解码类型将被删除。或者根据系统配置,对可以识别的媒体类型进行通过,对未被BAC明确识别的媒体类型进行过滤。 2、编解码一致性检查
无论是固定接入还是移动接入,如果用户发送媒体流的媒体编码类型和信令中协商的媒体编码类型不一致,则存在媒体流攻击或带宽盗用的潜在威胁。BAC可以检查媒体协商过程中本次呼叫的codec值和当前实际接收过程中的媒体流的codec值是否一致,丢弃不一致的媒体报文。