浅谈高校校园网网络安全策略

1、浅谈高校校园网网络平安策略 浅谈高校校园网网络平安策略 【文章摘要】 本文分析了当前高校校园网的各种攻击现象，并由网络核心设备的功能展开说明，提出了网络核心设备的平安功能措施要求，并提出了整个校园网的平安策略。 【关键词】 校园网；平安功能措施；平安策略 网络平安是任何一个网络建设时首先要考虑的重要问题，高校校园网的环境更加复杂，学生的技术水平都较高，好奇心比拟强，其网络平安更加值得关注。 TCP/IP网络本身就存在很多平安漏洞，很容易被一些恶意用户利用并实施攻击，或非法占用网络资源，侵犯其它用户的合法利益，甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力，在校

2、园网络中最关键的平安设备就是学校出口路由交换机。出口路由交换机作为BAS设备，除了保护自己外，还要特别担负起对所有接入用户的平安保护，因此BAS设备的平安功能是极其重要和根本的。它的平安功能措施分为两类，一类是自身防攻击措施，另一类是用户平安保证措施。 防攻击措施主要包括以下功能： 1.DHCP申请数限制 限制每个VLAN物理链路上同时申请的DHCP地址个数，防止对DHCP SERVER的攻击。 2.平安ARP 一般路由设备在外网段发起PING操作时如果发现PING的目的地址是其本网段的IP地址，且在ARP表项中没有该IP地址时，将代为发起ARP请求，这样如果网上出现类似“红色代码病毒的攻击，

3、一般路由设备将不堪负重。 3.播送抑制 应对上交给控制软件处理的播送报文实施流控，减少对系统资源过量和突发消耗。 4.非法报文早期丢弃 对收到的非法类型或本系统不关心的报文能早期发现并丢弃，不上交给控制软件处理，以减少对系统资源的消耗。 5.控制报文分优先级上交处理 将控制报文分优先级上交给控制软件处理，以确保重要的控制业务优先实施，具体优先顺序从高到底依次为：PPP连接协商控制报文、PPPoE连接协商报文、ARP请求报文、各种播送报文、ICMP报文。 用户平安措施主要包括以下功能： 1.对用户认证密码的平安性保障 对PPP拨号用户和WEB用户登录密码分别用CHAP、HTTPS等协议进行加密后

4、再进行传输。 2.限制每个VLAN-ID上的用户数量 通过配置“MAX-USER命令对每个VLAN端口上的最大允许用户数进行限定，并在用户接入过程中进行控制，在一定程度上增加恶意攻击的难度。 3.对用户带宽做控制 对于每个VLAN用户可以做精确带宽控制，从而使大流量攻击受到抑制 4.专线用户地址反欺骗 对静态或动态地址的专线用户的IP地址盗用都能实现有效的防止 5.异常用户来源的识别 各种异常现象发生时，BAS设备的告警信息能记录并显示出异常用户的来源信息，以便于查明具体用户 由以上分析，我们可以采取如下平安策略： 1.用户严格隔离 方法一：用Vlan隔离。在楼道以太网交换机上按端口划分Vla

5、n，每个用户占用一个Vlan。 方法二：利用Private Vlan技术。在楼道交换机上划分Private Vlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。 方法三：使用以太网MUX设备。该类设备将楼道交换机的端口分为两类：上行口Uplink和用户端口。用户端口之间不能通信，Uplink口可以和所有端口通信。 2.用户唯一标识 一般的边缘路由器对于用户上行报文，只根据目的IP地址进行转发，不做源地址检查，这是出现网络和用户平安性问题的根本原因所在。对于静态IP地址分配方案，可以将用户的VLAN ID+IP绑定；对于动态IP地址分配方案，可以将用户的VLAN ID+IP+MA

6、C进行绑定。VLAN信息由设备构造，不可仿冒，可作为用户上网的唯一标识。 3.防止对DHCP效劳器的攻击 使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。 由于DHCP是通过二层播送包起作用的，故在二层严格隔离用户，可防止DHCP Server假冒。为解决DHCP Smurf，在以太网接入时，对用户划分Vlan，由出口路由交换机控制一个Vlan下申请的最大IP

7、地址数，当该Vlan的IP地址数目到达限制值后，拒绝新的DHCP申请。Vlan的划分可根据学校的实际情况灵活掌握。 4.恶意用户追查 对每个用户分配一个Vlan ID，使用路由交换机管理用户。记录用户每次上网的用户名，源IP地址，上网开始和结束时间。根据源IP查询到用户的Vlan ID，通过Vlan ID得知用户的上网地点。 5.防止用户Proxy代理 通过计费策略进行限制：为防止用户自建Proxy效劳器并共享帐号，可以在计费策略上加以约束。比方，采用时长加带宽的方式解决，对每个用户使用的最大带宽进行限制；或者采用时长加流量的计费策略，即时间和流量分别计费，然后对两者的费用求和，得出上网费。 设备限制用户允许建立的连接数目：此时通过硬件限制同一个用户可建立的连接数来限制多用户的接入。核心路由交换机内置NAT和ACL，构建防火墙，在路由交换机出口上ACL对于网段A做过滤，不允许建立连接。NAT设备通过限制每个用户能建立的连接的数量，到达限制用户通过代理访问Internet的目的。 对于在校园内的Proxy，可采用定期通过软件搜索的方式查找相应的Proxy点。 【参考文献】 【1】李清平.DHC