校園網內部網絡安全

摘要：外部網絡威脅盡管形勢嚴峻，但來自內部網絡本身的威脅有時卻更難防范。該文探討如何發掘內部網絡設備（主要為二三層交換機）的功能，防范來自內部網絡的威脅。這些威脅主要為非法DHCP服務器、ARP欺騙、用戶私設IP地址、用戶私接交換機、用戶連接失誤造成的網絡環路等。從網絡設備層面杜絕這些威脅，會使內部網絡本身更加“安靜”，從而也更安全穩定流暢。

關鍵詞：網絡設備安全；交換機；DHCP-SNOOPING；ARP-DETECTION；IP；MSTP

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）17-4004-05

計算機網絡對來自外部（internet）網絡威脅的防范工作，主要由路由防火墻來完成。不可否認，防范外部網絡的威脅非常重要。如何配置路由防火墻（及入侵檢測系統等）來防范這些威脅，也已經形成很多固定的模式，介紹探討這方面的文章書籍也不在少數。

不過來自內部網絡的威脅同樣不可小視，俗話說，堡壘最容易從內部攻破。內部網絡的威脅主要包括非法DHCP服務器、ARP欺騙、用戶私設IP地址、用戶私接交換機、用戶連接失誤造成的網絡環路等。有些是用戶無意識的行為（例如ARP攻擊，用戶主機可能中了ARP病毒），但有些卻有可能是有意為之（例如私設DHCP服務器，造成其他用戶獲取到錯誤的IP地址）。

這些威脅都能造成內部網絡的不穩定，使用戶的網絡使用體驗變差。對于這些威脅的防范，路由防火墻通常無能為力。但是，有一點，因為這些威脅是通過內部網絡設備（主要為交換機）在用戶主機之間形成干擾的，所以如果網絡設備支持對這些威脅的防范（具有相應的功能），我們就能在用戶級別掐滅這些干擾因素。……