摘要：校園網(wǎng)絡(luò)的蓬勃發(fā)展給網(wǎng)絡(luò)管理者帶來了很大的挑戰(zhàn)和麻煩。文章主要對網(wǎng)絡(luò)管理和維護進行了探討。根據(jù)目前已有的防火墻技術(shù)并結(jié)合自身的經(jīng)驗對校園網(wǎng)絡(luò)提出一套管理和維護的方法。深入剖析了ARP病毒的攻擊原理并給出了整體解決方案，該方案旨在既保證網(wǎng)絡(luò)安全又能提高網(wǎng)絡(luò)的傳輸效率。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)管理；防火墻；ARP病毒

0 引言

隨著科技的進步，網(wǎng)絡(luò)也逐漸成為了人們在工作、生活中不可缺少的一部分，人們在享受網(wǎng)絡(luò)帶來的樂趣的同時也對網(wǎng)絡(luò)的服務(wù)和質(zhì)量提出了更高的要求。從目前網(wǎng)絡(luò)發(fā)展的情況來看，高校的網(wǎng)絡(luò)得到了較快的發(fā)展，每個院校都擁有自己的校園網(wǎng)絡(luò)。

校園網(wǎng)絡(luò)的快速發(fā)展所帶來的問題就是網(wǎng)絡(luò)規(guī)模急劇膨脹、網(wǎng)絡(luò)用戶數(shù)量快速增長。目前校園網(wǎng)絡(luò)已應(yīng)用到教學(xué)方面，成為了教育行業(yè)不可或缺基礎(chǔ)設(shè)施之一，保證校園網(wǎng)絡(luò)能夠快速、穩(wěn)定、安全成為了網(wǎng)絡(luò)管理人員的頭等大事。

1 校園網(wǎng)絡(luò)管理

1.1 Vlan劃分

校園網(wǎng)絡(luò)的不斷膨脹和用戶的不斷增多，會帶來許多的問題，例如網(wǎng)絡(luò)安全、IP地址沖突等。解決這些問題的一個辦法就是劃分Vlan(virtual local area network，虛擬網(wǎng)絡(luò))，將網(wǎng)絡(luò)配置成幾種不同的安全級別模式。這種方法主要應(yīng)用于校園網(wǎng)絡(luò)以及用戶的隔離，使得網(wǎng)絡(luò)數(shù)據(jù)包在很小的網(wǎng)絡(luò)范圍內(nèi)傳輸，確保校園內(nèi)部的網(wǎng)絡(luò)信息不被遠程的主機節(jié)點所訪問。

1.2劃分Vlan的作用

劃分Vlan的主要作用有兩個，其中一個是保證網(wǎng)絡(luò)的安全，阻止那些未經(jīng)授權(quán)的主機，擅自訪問校園內(nèi)部資源；另一個作用就是減少廣播在網(wǎng)絡(luò)中的傳播范圍，將廣播隔離到一個小的子網(wǎng)中，提高網(wǎng)絡(luò)的傳輸效率。

校園網(wǎng)絡(luò)可以按照機構(gòu)或部門進行劃分Vlan，也可以按照教學(xué)樓劃分，這樣可以使得各個部門的主機、內(nèi)部服務(wù)器等都在自己Vlan中內(nèi)工作，且相互不會干擾。

1.3IP地址

當用戶主機接入校園網(wǎng)時，需要給其分配一個IP地址。如果給其固定一個IP地址，則不夠科學(xué)，而且不好管理。例如在用戶電腦非常多的情況下，當一個用戶隨意修改自己電腦的IP地址時，可能會導(dǎo)致IP沖突。所以最好使用DHCP服務(wù)器來給校園主機分配IP地址，這樣不僅用戶不需要手動配置IP地址，而且容易管理，只要用戶把電腦的IP設(shè)置為自動獲取就可以達到“即插即用”的效果，而且也能保證子網(wǎng)當中不會出現(xiàn)IP沖突等問題?，F(xiàn)在的三層交換機都具備DHCP服務(wù)器的功能，只要啟動DHCP服務(wù)，就可以為一子網(wǎng)分配IP地址。

1.4防火墻

校園網(wǎng)絡(luò)當中使用大量的應(yīng)用性服務(wù)器，極易成為黑客攻擊的目標。為確保這些服務(wù)器能夠正常、穩(wěn)定的工作，我們需要一些軟硬件設(shè)備使其與外部網(wǎng)絡(luò)隔離，對此，防火墻是最佳的選擇。防火墻是設(shè)立在內(nèi)外之間的一道安全屏障，可以有效防止外部用戶在未授權(quán)的情況下非法訪問校內(nèi)資源。各個高等院?？梢愿鶕?jù)自己的需求來設(shè)置防火墻的過濾規(guī)則，網(wǎng)絡(luò)管理人員可以隨時查看防火墻的日志，及時發(fā)現(xiàn)異常的記錄，并采取必要的安全措施。

目前的防火墻根據(jù)其技術(shù)的不同大體上可分為以下幾種。

包過濾型，目前，包過濾型防火墻仍然是保護內(nèi)部網(wǎng)絡(luò)的最主要的技術(shù)。這種防火墻當接收到外部網(wǎng)絡(luò)連接請求時，首先根據(jù)數(shù)據(jù)包的信息來判斷一下是否來自可信網(wǎng)絡(luò)，如果發(fā)現(xiàn)是來自危險站點的通信數(shù)據(jù)包，便丟棄掉，不讓此類數(shù)據(jù)包通過防火墻。防火墻的判斷規(guī)則是由網(wǎng)絡(luò)管理員根據(jù)實際的情況來制定的，這些過濾信息存儲在防火墻的通信端口之中，防火墻利用這些規(guī)則來審查通過該端口的每一個數(shù)據(jù)包，根據(jù)其包頭信息和通信地址來判斷是丟棄該數(shù)據(jù)包，還是讓其通過。

代理型代理型防火墻又稱代理服務(wù)器(Proxy Server)，它的安全性能要高過包過濾型防火墻，主要在于代理服務(wù)器應(yīng)用于客戶端和服務(wù)器的之間，不允許兩者直接通信。其原理是：當內(nèi)部主機需要連接外部服務(wù)器時，首先向代理服務(wù)器發(fā)送連接請求，由代理服務(wù)器檢查該請求是否合法，然后再由代理服務(wù)器以客戶機的形式向真正的服務(wù)器發(fā)送數(shù)據(jù)請求；當數(shù)據(jù)返回時，數(shù)據(jù)先返回到代理服務(wù)器，由代理服務(wù)器檢查數(shù)據(jù)是否合法，然后才把數(shù)據(jù)發(fā)給真正需求的主機。代理服務(wù)器技術(shù)的關(guān)鍵在于它切斷了內(nèi)網(wǎng)、外網(wǎng)的數(shù)據(jù)通道，當有連接請求時必須要通過代理服務(wù)器，這樣保證了內(nèi)網(wǎng)的安全性；并且當下次請求同一數(shù)據(jù)時，可以直接從代理服務(wù)器取得，不必再經(jīng)過外網(wǎng)，提高了網(wǎng)絡(luò)的速度。

狀態(tài)監(jiān)測型狀態(tài)監(jiān)測型防火墻安全性能遠遠高出了傳統(tǒng)包過濾防火墻，它的包過濾規(guī)則不是靜態(tài)的，而是利用先前數(shù)據(jù)包進行歸納分析獲取數(shù)據(jù)包的一些狀態(tài)信息動態(tài)地生成過濾規(guī)則。而且根據(jù)這些規(guī)則對防火墻可以主動的、實時地對網(wǎng)絡(luò)各層進行監(jiān)控。

2 校園網(wǎng)絡(luò)維護

(1)網(wǎng)線故障

網(wǎng)線連接問題在校園網(wǎng)絡(luò)故障中是最常見的。處理此一類故障首先可查看一下連接網(wǎng)卡的網(wǎng)線是否松動、斷線。測試網(wǎng)線是否斷線的工具就是網(wǎng)線測線器，利用此儀器可以非常直觀地檢測出每根網(wǎng)芯工作情況。一般來說，在100M校園網(wǎng)絡(luò)中，只要1、2、3、6網(wǎng)芯是連通的就可以保證此網(wǎng)線可以正常使用。

(2)IP地址故障

在校園網(wǎng)絡(luò)當中劃分子網(wǎng)是非常容易管理的，但是也會給用戶帶來一些麻煩。例如在某一子網(wǎng)當中，用戶給自己的電腦指定了一個IP地址，這種情況下用戶在這個子網(wǎng)之外是不能獲得網(wǎng)絡(luò)服務(wù)的，此時必須設(shè)置電腦采用“自動獲取IP地址”。具體步驟如下(以XP系統(tǒng)為例)：首先，在桌面上選中“網(wǎng)絡(luò)鄰居”單擊鼠標右鍵→屬性，然后再選中“本地連接”_→“屬性”→“Internet TCP/IP協(xié)議(TCPfiP)”→“自動獲得IP地址”。

(3)核心設(shè)備

目前，在高校當中，幾乎每一個校區(qū)都會有一到兩個核心設(shè)備，而且對核心設(shè)備的使用方法有所不同。筆者對核心設(shè)備的使用方法建議如下：首先把各子網(wǎng)的路由信息匯聚到一個交換機上，然后再連接到核心設(shè)備上，即核心設(shè)備只應(yīng)用于交換，不應(yīng)用于路由。這樣做的好處是：當某一個子網(wǎng)的主機感染病毒，發(fā)送了大量數(shù)據(jù)包，最多只會把信息匯聚到交換機的資源消耗掉，但不會影響到核心設(shè)備以及其他子網(wǎng)的正常通信。如果把路由應(yīng)用在核心設(shè)備上，一旦發(fā)生以上問題，不但會消耗掉核心設(shè)備資源，而且還會影響到其他子網(wǎng)的正常通信。

(4)病毒

在校園網(wǎng)絡(luò)當中最常見的病毒就是ARP病毒，其發(fā)作的跡象就是間斷性的斷網(wǎng)。原因是本來流向主干網(wǎng)絡(luò)的大量的信息卻流向了病毒主機，而且這些大量的數(shù)據(jù)包可能使得本網(wǎng)段擁塞，所以使得網(wǎng)速變得很慢或者直接斷網(wǎng)。

ARP(Address Resolution Protocol，地址解析協(xié)議)用于IP地址到MAC地址的映射。這一對映射是很有必要的，因為在網(wǎng)絡(luò)層及其以上的層次傳輸數(shù)據(jù)時，必將經(jīng)過物理層，然而物理層卻并不能識別這些協(xié)議。但是此協(xié)議也有自己的缺陷，不法分子可以通過偽造IP和MAC的映射來制造ARP攻擊，輕則造成被攻擊的主機經(jīng)常斷網(wǎng)，重則是截取被攻擊主機的重要信息，使受害者蒙受巨大損失。

一般來說，ARP欺騙是在篡改ARP緩存表的基礎(chǔ)上實施的。ARP病毒有兩種攻擊形式。一種是主動攻擊形式，即惡意更改害主機ARP緩存中的IP和MAC映射。例如在某一局域網(wǎng)當中存在以下幾臺主機(IP／MAC)：

A：192.168.1.1

AA--AA--AA--AA--AA--AA

B：192.168.1.2

BB--BB--BB--BB--BB--BB(網(wǎng)關(guān)地址)

C：192.168.1.3

CC--CC--CC--CC--CC--CC

D：192.168.1.4 DD--DD--DD--DD--DD--DD

在正常情況下，A可以利用自己ARP緩存表中的信息或者使用ARP協(xié)議跟D正常通信，若c向A發(fā)送ARP數(shù)據(jù)包，其內(nèi)容是(192.168.1.4，CC-CC-CC-CC-CC-CC)，A收到此數(shù)據(jù)包時，會修改自己的ARP緩存表，把D的物理地址修改為：CC-CC-CC-CC-CC-CC，此時當A再向D發(fā)送數(shù)據(jù)時，數(shù)據(jù)包首先發(fā)送到c，即c截取到了A數(shù)據(jù)包。另一種攻擊模式是被動攻擊，即攻擊主機并不主動去修改受害主機的ARP緩存表，而是當受害主機發(fā)送ARP協(xié)議詢問包時，再進行應(yīng)答，實施欺騙攻擊。

可以看出ARP協(xié)議默認所有的ARP數(shù)據(jù)包都是可信的。

以下給出防御ARP攻擊的思路。

(1)配置靜態(tài)記錄

在目標主機上建立一個靜態(tài)的ARP表，這樣能夠防御ARP攻擊。但是不足之處是破壞了ARP動態(tài)刷新的過程，需要實時修改ARP表，工作量大，且不好維護。

(2)在交換機上啟動DHCP Snooping和DAI服務(wù)

DHCP Snooping主要作用是：屏蔽掉非法的DHCP服務(wù)器，使用戶獲取到正確的網(wǎng)絡(luò)地址；建立、維護一張動態(tài)的DHCP-Snooping表。該表格是用DHCP ack數(shù)據(jù)包中的IP／MAC映射對生成的，是DAI技術(shù)的基礎(chǔ)。DAI技術(shù)原理只是截取網(wǎng)絡(luò)當中的ARP數(shù)據(jù)包，驗證此數(shù)據(jù)包當中的MAC~P映射是否合法(與DHCP-Snooping表進行比較)，如果驗證成功就轉(zhuǎn)發(fā)，否則丟棄此數(shù)據(jù)包。

3 結(jié)束語

網(wǎng)絡(luò)維護人員可以利用本文提供的一些經(jīng)驗和方法來排除實際運行維護中的網(wǎng)絡(luò)故障。但是網(wǎng)絡(luò)維護人員只有在熟練掌握網(wǎng)絡(luò)知識和積累一定的工作經(jīng)驗之后，才能對校園網(wǎng)絡(luò)進行合理的、科學(xué)的優(yōu)化，創(chuàng)建—個快速、穩(wěn)定、安全的校園網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1]袁軍鵬.淺談防火墻技術(shù)與網(wǎng)絡(luò)安全[J].安全技術(shù)防范，2002.1：32-34.

[2]William R Cheswick，Steven M Bellovin著，戴宗坤等譯.防火墻與因特網(wǎng)安全[M].機械工業(yè)出版社，2000.

[3]趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密，2006.8:73-74，77.

[4]任峽，呂述望.ARP協(xié)議欺騙原理分析與抵御方法[J].計算機工程，2003.29(9):127-128，18.

[5]秦豐林，段海新，郭汝廷.ARP欺騙的檢測與防范技術(shù)綜述[J].計算機應(yīng)用研究，2009.130-33.