基于交換機的校園網絡安全防御技術

■王春蓮

基于交換機的校園網絡安全防御技術

■王春蓮

引言

隨著校園網網絡應用和網絡業務需求的不斷增長，隨著網絡技術的不斷發展，早期的網絡結構逐漸暴露出一系列嚴重問題，使得網絡的整體性能、穩定性和安全性都不容樂觀，急需優化改造。本文重點研究交換機校園網絡安全防御技術。

在校園網絡實際環境中，攻擊和欺騙行為主要針對鏈路層和網絡層，其來源可概括為兩個途徑：人為實施；病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探，獲取管理賬戶和相關密碼，在網絡上安插木馬，從而進一步竊取機密文件。

基于交換機校園網絡安全防御技術

使用Port Security feature防范MAC/CAM攻擊

MAC/CAM攻擊是指利用工具產生欺騙MAC，快速填滿CAM表，攻擊者可以利用各種嗅探攻擊獲取網絡信息。CAM表填滿后，流量以洪泛方式發送到所有接口，會造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。

交換機Port Security feature可以防止MAC和MAC/CAM攻擊。通過配置Port Security可以控制：端口上學習通過哪些IP地址或MAC地址；端口上學習的最大MAC地址數。交換機Port Security特性采取兩種操作，即Bind（綁定，允許）和Block（阻塞，禁止），這條命令是配置在端口上的，只對進入端口的數據包有效。除了Port Security，采用DAI技術也可以防范MAC地址泛濫攻擊。

DHCP Snooping防范技術

DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息。DHCP Snooping技術不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態ARP檢測Dynamic ARP Inspection（DAI）和IP Source Guard使用。

首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP掉來自這些端口的非正常DHCP報文，對于已經申請到IP地址的設備在租用期內（網卡不斷電的話）不會再次發起DHCP請求。為了解決這個問題，可以定時把DHCP Snooping binding信息上傳到指定TFTP服務器。

Dynamic ARP Inspection防范技術

ARP用來實現MAC地址和IP地址的綁定，由于ARP無任何身份真實校驗機制，攻擊主機通過黑客程序發送ARP欺騙報文告訴請求某個IP地址的主機一個錯誤的MAC地址，隨后使得網絡流量流向惡意攻擊者的主機，因此攻擊主機變成某個局域網段IP會話的中間人，造成竊取甚至篡改正常數據傳輸的后果。

DAI在交換機上提供IP地址和MAC地址的綁定，并動態建立綁定關系。DAI以DHCP Snooping綁定表為基礎，對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN，對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。通過這些技術可以防范“中間人”攻擊。

結束語

綜上所述，通過配置交換機網絡趨于穩定，不僅解決了一些典型攻擊和病毒的防范問題，也為傳統IP地址管理提供了新的思路。使用DHCP Snooping、DAI、IP Source Guard技術能解決大部分網絡上存在的攻擊、欺騙行為，因為大多數對局域網危害較大的網絡病毒都具有典型的特征：IP/MAC、ARP、DHCP欺騙和快速的發包掃描，大量的組播、廣播報文，等等。采用上述技術很大程度上可以自動切斷病毒源，及時報警，并準確定位病毒源。■

[1]韓偉.談高校校園網網絡安全及對策[J].電腦知識與技術,2010(12)

[2]李浩.高校校園網網絡安全分析及對策研究[J].電腦學習,2009(5):12-14

[3]謝惠琴.校園網安全防范技術研究[J].福建電腦,2009(9):60-61

[4]鐘平.構建基于主動防御的動態校園網絡安全模型[J].網絡安全技術與應用,2008(11):43-45

（作者單位：德州職業技術學院計算機系）

10.3969/j.issn.1671-489X.2011.14.052