高校校园网安全分析与研究
摘要 校园网不仅能够更加合理有效地利用学校现有的各种资源,而且为学校未来的发展奠定基础,使之能够适应信息时代的要求。基于当前学校网络安全的现状及特点,提出相应的控制策略。
关键词 校园网;网络安全;防护技术
中图分类号:TP393.18文献标识码:B文章编号:1671-489X(2010)36-0123-02
Campus Network Security Analysis and Research//Li Chunhui
Abstract Campus Network security is a higher education, teaching and research activity to ensure normal operation. In this paper, the current campus network of the status quo, on the campus network security problems are analyzed, in view of the current campus network faces security threats at all levels, from the network’s multi-faceted approach, using a variety of security management technology, the corresponding security protection technology.
Key words campus network; network security; protection technology
Author’s address Dezhou Vocational Technical College, Dezhou, Shandong, China 253034
随着大学数字化建设的深入,校园网作为数字化校园的基础平台己经在各个高校普遍建立。在现有的校园网络基础上保证校园网络的安全运行,减少网络安全事件对教学、科研活动的影响,具有十分重要的意义。
1 分布广泛的安全问题
1.1 接入层安全
根据安全威胁的特征分析,来自于网络二层的攻击主要包括:1)MAC泛滥攻击的原理和危害;2)DHCP、ARP欺骗攻击;3)STP问题。
1.2 内部网络层安全问题
1)一个网段用户的蠕虫病毒攻击可以直接波及所有网段,造成拥塞或广播;2)基于源地址欺骗的攻击方式在网络中通行无阻。
1.3 网络边界安全问题
1)远程访问服务隐患;2)无DMZ(隔离区)的问题。
1.4 应用层威胁严重
应用层威胁主要包括蠕虫、病毒、间谍软件、垃圾邮件、Dos/DDoS攻击、网络钓鱼、滥用带宽等。
2 校园网络安全技术分析
2.1 二层攻击的防护技术
针对典型的二层攻击和欺骗,组合运用和部署Port Security Feature、DHCP Snooping、Dynamic ARP Inspection(DAI)和IP Source Guard等技术,有效防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等。
1)使用Port Security Feature防范MAC/CAM攻击。通过配置Port Security可以控制端口上最大可以通过的MAC地址数量,对于超过规定数量的MAC处理进行违背处理;端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。
2)使用DHCP Snooping防范DHCP攻击。当交换机开启了DHCP Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack中提取并记录IP地址和MAC地址信息。另外,DHCP Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样可以完成交换机对假冒的DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
3)ARP攻击的防范。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这样的配置,可以解决ARP攻击问题,更好地提高网络安全性和稳定性。
4)IP/MAC欺骗的防范。IP Source Guard通过这样的机制防范IP/MAC欺骗:①IP Source Guard使用DHCP Snooping绑定表信息;②运作机制类似DAI,但是IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测;③IP Source Guard检查接口,所通过的流量的IP地址和MAC地址是否在IP Source Guard绑定表,如果不在绑定表中则阻塞这些流量;④通过在交换机上配置,过滤掉非法的IP地址;⑤提供动态的建立IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以利用全局命令静态手工添加对应关系到绑定表中;⑥配置IP Source Guard的接口初始阻塞所有非DHCP流量。
2.2 网络层的安全防护技术
网络层的安全防护主要依赖于访问控制列表ACL,ACL可以限制网络流量、提高网络性能。对于源地址欺骗,最简单的方法就是对所有的互联网通信使用进入过滤器。另一个方法是RPF(反向路径转发),即IP验证。RPF取出所收到的来自互联网的某个数据包的源地址,查看在路由器的路由表中是否存在一个路由可以应答此数据包。
2.3 应用层安全管理技术
IPS(入侵防御系统)具备对2层到7层流量的深度分析与检测能力,同时配合以攻击特征知识库和用户规则,即可有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对各种流量进行有效管理,从而达到对网络上应用、网络基础设施和网络性能的保护。IPS可以被“in-line”地部署到网络当中去,对所有流量进行深度分析与检测,从而具备实时阻断攻击的能力,同时对正常流量不产生任何影响。
内容管理也是应用层安全的一个重点,限制对外的不当访问,过滤垃圾邮件以及携带病毒等恶意代码的邮件,有助于控制内网的安全。
3 结束语
从网络的多个层面入手,采用多种安全管理技术手段,对校园网进行有效整合和管理,全面提高校园网的可控性和可用性,保障校园网的安全运行及健康的网络环境。