■王春蓮

基于交換機的校園網(wǎng)絡安全防御技術

■王春蓮

引言

隨著校園網(wǎng)網(wǎng)絡應用和網(wǎng)絡業(yè)務需求的不斷增長，隨著網(wǎng)絡技術的不斷發(fā)展，早期的網(wǎng)絡結構逐漸暴露出一系列嚴重問題，使得網(wǎng)絡的整體性能、穩(wěn)定性和安全性都不容樂觀，急需優(yōu)化改造。本文重點研究交換機校園網(wǎng)絡安全防御技術。

在校園網(wǎng)絡實際環(huán)境中，攻擊和欺騙行為主要針對鏈路層和網(wǎng)絡層，其來源可概括為兩個途徑：人為實施；病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡進行掃描和嗅探，獲取管理賬戶和相關密碼，在網(wǎng)絡上安插木馬，從而進一步竊取機密文件。

基于交換機校園網(wǎng)絡安全防御技術

使用Port Security feature防范MAC/CAM攻擊

MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡信息。CAM表填滿后，流量以洪泛方式發(fā)送到所有接口，會造成交換機負載過大，網(wǎng)絡緩慢和丟包甚至癱瘓。

交換機Port Security feature可以防止MAC和MAC/CAM攻擊。通過配置Port Security可以控制：端口上學習通過哪些IP地址或MAC地址；端口上學習的最大MAC地址數(shù)。交換機Port Security特性采取兩種操作，即Bind（綁定，允許）和Block（阻塞，禁止），這條命令是配置在端口上的，只對進入端口的數(shù)據(jù)包有效。除了Port Security，采用DAI技術也可以防范MAC地址泛濫攻擊。

DHCP Snooping防范技術

DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息。DHCP Snooping技術不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態(tài)ARP檢測Dynamic ARP Inspection（DAI）和IP Source Guard使用。

首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP掉來自這些端口的非正常DHCP報文，對于已經(jīng)申請到IP地址的設備在租用期內(nèi)（網(wǎng)卡不斷電的話）不會再次發(fā)起DHCP請求。為了解決這個問題，可以定時把DHCP Snooping binding信息上傳到指定TFTP服務器。

Dynamic ARP Inspection防范技術

ARP用來實現(xiàn)MAC地址和IP地址的綁定，由于ARP無任何身份真實校驗機制，攻擊主機通過黑客程序發(fā)送ARP欺騙報文告訴請求某個IP地址的主機一個錯誤的MAC地址，隨后使得網(wǎng)絡流量流向惡意攻擊者的主機，因此攻擊主機變成某個局域網(wǎng)段IP會話的中間人，造成竊取甚至篡改正常數(shù)據(jù)傳輸?shù)暮蠊?/p>

DAI在交換機上提供IP地址和MAC地址的綁定，并動態(tài)建立綁定關系。DAI以DHCP Snooping綁定表為基礎，對于沒有使用DHCP的服務器個別機器可以采用靜態(tài)添加ARP access-list實現(xiàn)。DAI配置針對VLAN，對于同一VLAN內(nèi)的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數(shù)量。通過這些技術可以防范“中間人”攻擊。

結束語

綜上所述，通過配置交換機網(wǎng)絡趨于穩(wěn)定，不僅解決了一些典型攻擊和病毒的防范問題，也為傳統(tǒng)IP地址管理提供了新的思路。使用DHCP Snooping、DAI、IP Source Guard技術能解決大部分網(wǎng)絡上存在的攻擊、欺騙行為，因為大多數(shù)對局域網(wǎng)危害較大的網(wǎng)絡病毒都具有典型的特征：IP/MAC、ARP、DHCP欺騙和快速的發(fā)包掃描，大量的組播、廣播報文，等等。采用上述技術很大程度上可以自動切斷病毒源，及時報警，并準確定位病毒源。■

[1]韓偉.談高校校園網(wǎng)網(wǎng)絡安全及對策[J].電腦知識與技術,2010(12)

[2]李浩.高校校園網(wǎng)網(wǎng)絡安全分析及對策研究[J].電腦學習,2009(5):12-14

[3]謝惠琴.校園網(wǎng)安全防范技術研究[J].福建電腦,2009(9):60-61

[4]鐘平.構建基于主動防御的動態(tài)校園網(wǎng)絡安全模型[J].網(wǎng)絡安全技術與應用,2008(11):43-45

（作者單位：德州職業(yè)技術學院計算機系）

10.3969/j.issn.1671-489X.2011.14.052