中小型企业网安全环境的构建与实现

PAGE１５３/NUMPAGES155学科分类号：_520.3040_ 湖南人文科技学院 本科生毕业设计论文题目：中小型企业网安全环境的构建与实现（英文）：ConstructionandImplementationofSmall-to-MediumEnterprisenetwork’sSafeEnvironment学生姓名：龙彩虹学号07420132系部：计算机科学技术系专业年级：网络工程2007级指导教师：陈代武职称：副教授

湖南人文科技学院教务处制本人郑重声明：所呈交的本科毕业设计，是本人在指导老师的指导下，独立进行研究工作所取得的成果，成果不存在知识产权争议，除文中已经注明引用的内容外，本设计不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担目录摘要 ３第一章绪论 ５1.1前言 ５1.2选题综述 ６1.3网络安全的基本问题 ７1.4网络安全准则 ８第二章中小型企业网安全环境构建的意义 ９第三章中小型企业网安全需求分析 １０3.1中小型企业安全网络的现状 １０3.2中小型企业网络安全特点 １０3.3中小型企业安全网络的管理 １１3.4中小型企业网络系统设计方案的需求 １２第四章中小型企业网安全环境设计 １３4.1网络安全分层思想 １３4.2访问控制 １５4.3设备安全 １６4.3.1设备安全策略 １６4.3.2设备加固 １７4.3.3设备物理安全 １７4.3.4用户账户 １７4.3.5特权级别 １８4.3.6交换访问方法 １８4.4保护安全设备的管理访问 １９4.4.1使用telnet访问 １９4.4.2使用SSH访问 １９4.4.3使用HTTPS访问ADSM １９4.4.4使用本地和AAA数据库进行认证与授权 ２０4.5交换机的安全 ２１4.5.1端口级流量控制 ２１4.5.2STP协议安全特性 ２５4.5.3DHCPSnooping ２７4.5.4IPSourceGuard ２８4.5.5DAI(动态ARP监控) ２８4.5.6中小型企业网常见攻击方式及威胁 ２９4.5.7二层安全的最佳配置方法 324.6路由协议安全特性 ３３4.7防火墙 ３５4.7.1防火墙的特性与意义 ３６4.7.2防火墙数据处理流程 ３８4.7.3防火墙的部署 ３９4.8虚拟专网络技用术 ４１4.8.1企业网对VPN技术的需求 ４１4.8.2隧道技术 ４２第五章中小型企业网安全环境的实现 ４７5.1上海艾泰科技有限公司的介绍 ４７5.2中小型企业网络安全环境构建拓扑 ４７5.3网络环境搭建实施步骤 ４８5.4中小型企业网络安全技术部署配置文档 ５０参考文献 ５１致谢 ５２附录A：上海艾泰科技有限公司网络拓扑结构示意图 ５３附录B:中小型企业安全网络IP规划 ５４附录C:型企业安全网络实验配置 ５５附录D：防火墙的分类 ７７

中小型企业网安全环境的构建与实现摘要随着计算机网络应用范围的扩展和技术的不断提高，计算机网络在带给人们方便快捷的同时，网络的安全问题也变得越来越重要。计算机网络的最基本应用便是资源共享，但是资源共享在提供了信息快速传递和处理的同时，也为在网络中存储的大量数据带来了安全问题。这些数据在存储和传输过程中，都有可能由于自然和人为等诸多因素被损坏、盗用、泄露或篡改，这将给网络系统的应用者带来相应的甚至极大的损失。从1988年第一个INTERNET蠕虫事件到2004年信息网络安全事件爆发高峰期，至今网络安全事件也是层出不穷。所以，对于中小型企业网来说，如何建构一个安全的网络环境是非常重要的。本论文是着重研究如何设计一个安全的中小型企业网络，其重点是放在如何搭建一个安全的中小型企业网上。研究内容主要包括中小型企业网安全需求分析、中小型企业网安全整体规划、中小型企业网络安全详细设计、中小型企业网络安全策略等。从中小型企业网络的安全漏洞、安全特点入手，提出中小型企业网络安全解决方案。为了将论文中提到的安全技术VLAN、VPN、防火墙、交换安全、路由安全部署到一个环境中,而本身又没有那样的条件在真实的设备上实现,故采取网络模拟器搭建一个扩展而稳定、可靠而安全的中小型企业网络，重点是在如何部署网络安全技术来达到内外网的高度安全。关键词：互联网;中小型企业;网络安全;安全技术;网络模拟器

ConstructionandImplementationofSmall-to-MediumEnterprisenetwork’sSafeEnvironmentAbstractWiththeexpansionofthescopeofcomputernetworkapplicationsandtechnologiescontinuetoimprove,thecomputernetworktobringpeopleinthesameconvenient,networksecurityhasbecomeincreasinglyimportant.Themostbasicapplicationofcomputernetworksisthesharingofresources,butresourcesharingintheprovisionofrapidinformationtransmissionandprocessing,butalsoforstorageinthenetworksecurityissueshasbroughtlargeamountsofdata.Thedatainthestorageandtransmission,arelikelyduetonaturalandman-madefactorssuchasdamaged,stolen,leakedortamperedwith,whichwillbringthenetworksystemapplicationsareappropriateorevenagreatloss.From1988tothefirsteventINTERNETworminformationnetworksecurityin2004thepeakoftheoutbreak,hasnetworksecurityeventisendless.So,forsmallandmediumsizedenterprisenetworks,howtobuildasecurenetworkenvironmentisveryimportant.Thispaperisfocusedonhowtodesignasecurenetworkofsmallandmediumenterprises,thefocusisonhowtobuildasafeSME.Researchincludenetworksecurityneedsofsmallandmediumenterprises,smallandmediumenterprisenetworksecurityoverallplanning,detaileddesignofnetworksecurityforSMEs,smallandmediumenterprisenetworksecuritystrategies.Fromthesmallandmediumenterprisenetworksecurityvulnerabilities,securityfeaturesstart,makesmallandmediumenterprisenetworksecuritysolutions.Inordertostudysecuritytechnologyismentionedvlan,vpn,firewall,exchangesecurity,routing,securitydeploymenttoanenvironment,whichitselfhasnoconditionsastoachieveintherealdevice,sotobuildanetworksimulatorexpansionandstable,reliableandsecurenetworksforsmallandmediumenterprises,emphasisisonhowtodeploynetworksecuritytechnologytoachieveahighdegreeofinternalandexternalnetworksecurity.Keywords:Internetsmesnetworksecuritysafetytechnologynetworksimulator

第一章绪论1.1前言网络安全从其本质上来讲就是网络上的信息安全，从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可靠性的相关技术和理论都是网络安全的研究领域。网络安全有许多的别名，信息安全、网络信息安全。网络安全威胁、网络安全攻防、网络安全服务和网络安全技术等都是网络安全在不同应用场合和不同用户对象时的说法。网络安全包括一切解决或缓解计算机网络技术应用过程中存在的安全威胁的技术手段或管理手段，也包括这些安全威胁本身及相关的活动。网络安全威胁和网络安全技术是网络安全含义最基本的表现。网络安全威胁是指计算机和网络系统所面临的、来自已经发生的安全事件或是潜在安全事件的负面影响；通常又分为现实和潜在威胁。解决或缓解网络安全威胁的手段和方法就是网络安全技术；为区别网络安全技术的两个主要阶段，现使用的经典网络安全技术和最近五六年最新推出的、完善的称为下一代网络安全技术。从1988年第一个INTERNET蠕虫事件到2004年信息网络安全事件爆发高峰期，至今网络安全事件也是层出不穷。尽管近几年网络安全问题似乎稍有得到抑制，但始终是网络工程师们头痛的问题，要构建一个高扩展性、高可靠性、高稳定性的网络或许凭借我们现有的技术以及网络工程师的经验，这不是问题。但是还要要求高安全性的话，这将是一个比较大的难题，毕竟网络中人为的、自然的很多因素都是未可预知的。随着计算机网络应用范围的扩展和技术的不断提高，计算机网络在带给人们方便快捷的同时，网络的安全问题也变得越来越重要。计算机网络的最基本应用便是资源共享，但是资源共享在提供了信息快速传递和处理的同时，也为在网络中存储的大量数据带来了安全问题。这些数据在存储、传递和传输过程中，都有可能由于自然和人为等诸多因素被损坏、盗用、泄露或篡改，这将给网络系统的应用者带来相应的甚至极大的损失。导致网络安全威胁的原因不外乎一下三个因素：系统的开放性开放、共享是计算机网络系统的基本目的和优势，但是随着开放规模大、开放对象的多种多样、开放系统应用环境的不同，简单的开放显然不切实际。相当一部分的网络安全威胁由此而产生。系统的复杂性复杂性是信息技术的基本特点，硬件的规模、软件系统的规模都比一般传统工艺流程大很多，需要投入的人力资源及其庞大。规模庞大特性本身就意味着存在设计隐患，而设计环境和应用环境的差异更是不可避免的倒置设计过程不可能尽善尽美。软件漏洞、硬件漏洞、协议设计缺陷等都是设计缺陷等都是典型的由于系统复杂性而导致的网络安全威胁。人为因素网络系统最终为人服务，人与人之间的各种差异、人在传统生活中表现出来的威胁行为是网络安全威胁出现的根本原因。各种计算机犯罪是非常有力的表现。1.2选题综述在现实中，并没有绝对意义上的安全网络存在，中小型企业网由于自身的特点：速度快和规模大，中小型企业网中的计算机系统管理比较复杂，中小型企业网中的用户水平参差不齐，有限的投入。成了网络安全问题比较突出的地方，成为了攻击者最为容易破获的目标，因而安全管理也是更为复杂，困难。国内外每个网络工程师们都在致力于研究如何才能部署高效安全的网络，来防止各种安全威胁的攻击。从主机安全到网络本身安全到黑客攻防再到高效安全管理，所有采取的措施都是围绕保持一个网络体系的安全而实施。我想以层级中小型企业网络为模型来研究如何构建一个安全的网络环境，从而提供一个构建安全网络环境的设计思路和方向。从不同的网络安全威胁着手，针对不同的网络安全攻击入口，采取不同的网络安全技术来实现中小型企业网的安全搭建。本论文所设计的网络是依托于我现在所在的公司上海艾泰科技有限公司，从整体上借助于当前典型的中小型企业网络安全技术、拓扑结构与产品的选择应用，在此基础上着重研究如何设计一个安全的中小型企业网络，强调其重点是放在如何搭建一个安全的中小型企业网上。研究内容主要包括中小型企业网安全需求分析、中小型企业网安全整体规划、中小型企业网安全详细设计、中小型企业网络安全策略等等。因为本论文研究的是如何搭建安全的中小型企业网络环境，所以从中小型企业网络的安全漏洞、安全特点入手，提出中小型企业网络安全解决方案。本论文立足于中小型企业网络这极具代表性的园区网络，综合的分析和设计整个网络的拓扑结构，以点带面，阐述构建安全网络环境的基本思想和设计方法。所设计的网络应具有如下特点：安全可靠、高速的网络连接，信息结构多样化、性价比高、可扩展性高等。尽可能详细地阐述当前中小型企业网络可能存在的主要安全问题和解决方法，以便在进行具体网络环境技术实施中对症下药。例如针对中小型企业网中常见的攻击方式及威胁：（1）ARP欺骗攻击；（2）IP地址欺骗；（3）DHCP的DOS攻击；（4）DHCPServer冒充；（5）TCPSYN拒绝服务攻击；（6）端口扫描；（7）路由协议攻击；（8）虚拟终端VTY耗尽攻击；（9）恶意程序的攻击-——逻辑炸弹、特洛伊木马、病毒、蠕虫等；（10）自然环境威胁等等。提出一些解决的办法，并通过综合运用各种网络安全技术建立一套有效的网络安全机制，真正达到中小型企业网的相对的高安全性。1.3网络安全的基本问题在规划、设计或部署网络的时候，或是在配置和管理网络的时候，管理员有必要自问以下的问题：(1)这个网络要保护和维护的对象是什么？(2)这个网络要实现什么业务功能？(3)如何实现这些功能？(4)要实现这些功能需要用到哪些技术和解决问题？(5)这些功能能否与网路的安全设备、安全操作及网络安全的工具相兼容？(6)如果网络的安全性存在缺失，会带来什么风险？(7)如果网络安全没有实施到位，会造成什么影响？(8)是否存在当前的安全策略和解决方案无法处理的新风险？(9)如何减小这种风险？网络风险的承受能力到底有多大？如果想建立一个安全的网络，不妨拿这些最基本的问题来问一问自己，做一个自测。网络安全技术可以降低风险，也可以为扩展企业内部网。企业外部网和电子商务的业务提供基本的保障。网络安全解决方案还可以保护敏感数据及公司资源，使它们免遭黑客的入侵和破坏。目前，高级技术可为中小型企业网络提供发展和竞争的契机；这些技术也同样专注于如何保护计算机系统，以使它们具备抵抗网络威胁的能力。确保网络设备的安全性对于企业来说，意义从未像今天这么重要。然而，尽管很多单位为确保网络安全撒下大把的资金，但这些企业仍然不断遭受到给类安全问题的困扰，这显然与低投入、高产出的管理理念背道而驰。由此可见，及时提高网络安全投资率还称不上不可或缺，至少也绝非可有可无，同时提高网络的投资效率和灵活性也同样至关重要。1.4网络安全准则机密性、完整性与可用性是使用范围广泛的安全模型。这三大核心原则既可以作为搭建一切安全系统的指导方针，也可以作为衡量安全实施情况的准绳。这些原则适用于安全分析的所有阶段——从用户访问，到用户的Internet历史记录，再到Internet上加密数据的安全。违反任何一个原则都会给相关单位造成严重的损失。1．机密性机密性用于阻止未经授权就曝光敏感数据的行为。它可以确保网络达到了必要的机密级别，并且网络中的信息对非法用户是保密的。只要谈到网络安全，在安全准则中人们首先想到的一定就是确保网络的机密性，因此机密性也是最常遭受网络攻击的环节。密码学和加密的目的就是要确保在两台计算机间传输数据的机密性。比如在进行网上银行交易时，用户要确保他的账户是保密的，如密码和银行卡号。密码学就是用来保护传输中的敏感数据，也就是说，密码学的目的就是确保这些数据在穿越公共媒介时的机密性。2．完整性完整性可以阻止未经授权就修改数据、系统和信息的行为，因此就可以确保信息和系统的准确性。换句话说，如果数据是完整的，就等于这个数据没有被修改过，也就等于它和原始信息是一致的。有一种常见的攻击方式称为中间人攻击。在执行这类攻击时，黑客就会在信息传递的过程中对其进行拦截和修改。3．可用性可用性可以确保用户始终能够访问资源和信息，也就是说需要浏览这些信息时，这些信息总是能够访问的。确保授权用户可以随时访问信息非常重要。有一类攻击方式就是要设法让合法的用户我无法正常访问数据，以达到中断服务的目的。

第二章中小型企业网安全环境构建的意义随着计算机网络规模的迅速发展，网络环境正在变得日趋复杂，它所承担的使命也正在变得日渐重要，所有这些都向网络运维人员提出了新的挑战。同时用户对于综合性网络设备提出的要求不言自明；他们希望这些设备所提供的服务能更够涵盖语言、视频及数据业务领域，而这些不断发展的技术让人们不得不重新开始关注网络的安全性问题。因此，当网络管理员想方设法对他们的网络设备进行更新，以使这些设备能够使用最新技术时，网络安全渐渐成为了搭建和维护现代化高端网络的核心命题。对于企业安全管理具体涵盖的内容，首先要明确企业的哪些资产需要保护，企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很容易的，但具体如要按级别界定就不那么简单。对此，就需要用安全厂商、集成商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。其次，如果企业想增强竞争实力，必须随时改进和更新系统和网络，但是机会增加常伴随着安全风险的增加，尤其是机构的数据对更多用户开放的时候——因为技术越先进，安全管理就越复杂。所以企业为了消除安全隐患，下一步就需要对现有的网络、系统、应用进行相应的风险评估，确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准：几乎所有企业目前都有信息安全策略，只不过许多策略都没有书面化，只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。我这次的毕业设计方案会对当今高速发展的网络环境中所存在的安全问题进行概述。由于当今社会要求网络安全解决方案能够针对业务需求进行设计和改善，网络安全的范例也在不断改变。为了使每一位同学、老师甚至网络安全的管理人员都能够正视管理现代网络的复杂之处，我在第一部分会介绍网络安全的核心原则——机密性、完整性与可用性。在该部分还会对部署网络安全的中心问题及网络安全策略进行阐述，并介绍网络安全的边界问题及多层边界问题。

第三章中小型企业网安全需求分析3.1中小型企业安全网络的现状中小型企业用户占我国企业主体比重的95%以上，但由于分布较散，购买力相对较弱，中小型企业的安全问题似乎一直没有得到安全厂商的足够重视。市场上的安全产品五花八门种类繁多，防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护无不囊括其中，但从其应用范围来看，这些方案大多数面向银行、证券、电信、政府等行业用户和大型企业用户，针对中小型企业的安全解决方案寥寥无几，产品仅仅是简单的客户端加服务器，不能完全解决中小企业用户所遭受的安全威胁。目前，国内厂商推出了网络版病毒软件，但由于功能的单一，并不能为中小企业提供完善的防护。其实，安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小型企业自身都向广大安全厂商提出了更高的要求。3.2中小型企业网络安全特点中国的中小型企业网一般都是最先应用最先进的网络技术，网络应用普及，用户群密集而且活跃。然而中小型企业网也由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂，困难。中小型企业网的以下特点导致安全管理非常的复杂。(1)中小型企业网的速度快和规模大；(2)中小型企业网中的计算机系统管理比较复杂；(3)中小型企业网用户水平参差不齐；(4)有限的投入；(5)盗版资源泛滥。以上各种原因都将导致中小型企业网既是大量攻击的发源地，也是攻击者最容易破获的目标，因此导致当前中小型企业网常见的风险由如下:(1)普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁。(2)计算机蠕虫、病毒泛滥，影响用户的使用、信息安全和网络运行。(3)外来的系统入侵和攻击等恶意破坏行为，有些计算机已经被攻破，用做黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对企业的网站和服务器。(4)内部用户的攻击行为，这些行为给中小型企业网络造成了不良的影响，损害了企业的声誉。(5)中小型企业网内部用户对网络资源的滥用，有的中小型企业网用户利用免费的中小型企业网资源提供商业或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了中小型企业网的应用。(6)垃圾邮件、不良信息的传播，有的利用中小型企业网内无人管理的服务器作为中转，严重影响企业的声誉。3.3中小型企业安全网络的管理中小型企业网络安全管理涉及的需求有诸多方面，我们仅就计算机网络系统集中管理、网络数据存储与备份管理，和网络防病毒管理三方面进行说明。计算机网络系统集中管理实施网络系统改造，提高中小型企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。

通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。

通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。网络数据存储备份管理互联网与信息技术的蓬勃发展，在提高了各个行业企业日常业务运营效率的同时，也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富，企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护，并在故障出现时迅速准确的予以恢复，以最大限度减小企业可能的损失，实现业务的持续、正常运转。企业对网络存储备份管理的要求包括：确保服务器系统及关键业务数据--数据库数据的可管理性、高安全性、完整性及易恢复性；存储备份系统应能很好地支持异构平台系统的应用环境；存储备份要求在不中断数据库应用的前提下实施，易于管理；在满足性能的条件下进行无人值守在线存储备份，一旦发生灾难时，应能以最快速度恢复到距灾难点尽可能近的数据。网络防病毒管理企业级防病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此，网络防病毒管理显得更加的复杂和艰难。要将网络病毒完全杜绝是不太现实的问题，应在发现病毒后尽快的研制出对策去避免。3.4中小型企业网络系统设计方案的需求网络方案应采用尽可能成熟的技术，以保持网络的稳定，并尽可能采用先进的技术，以实现网络服务的多样化、简单化:(1)采用国际统一的标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品，方便今后网络的扩展以及管理与维护。(2)应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力。(3)该网络方案要具有高扩展性，能为用户未来数目的扩展具有调整、扩充的手段和方法。(4)该网络在经济条件的允许下，应该充分考虑到设备的冗余备份（本论文不涉及该点），尽量避免设备单点故障造成全网瘫痪问题的出现。(5)该网络方案必须具有较高的安全性，必须能够有效地防范现有的安全威胁，并且能够为将来未知的安全威胁提供一定的防护基础。

第四章中小型企业网安全环境设计当今网络的解决方案正由在边界设备上部署安全保护，转变为在网络的各层之间部署安全保护。在私有网络的内网边界部署入侵防御系统（IPS）是目前的推荐做法之一。另外，可以在同一个组织机构的不同商业不猛之间部署防火墙产品，通过这种方式来把网络划分成多个逻辑分组，并应用边界防御措施。在这个多边界模型中，每个部门内部可以在不同的层面进行防御。这些年来，指定有效边界安全措施的重要性正在不断提高。仅仅依靠传统的防火墙和IDS防御机制来保护边界安全是不够的。Web应用、无线访问、网际互联、VPN，所有这一切都让“边界”这个概念变得前所未有的复杂。4.1网络安全分层思想分层进行安全保护一直是被推荐的做法，也是扩展性最好的网络安全保护措施。因为单一的安全机制难以保护整个系统，要保护网络架构，必须在各层都进行安全保护。这种分层思想也称为深度防御（defenseindepth）。它要求网络是一个多层系统，这样，当期中的一层失效，网络也不至于全部瘫痪，也就是说这种失效可以被限制在某个层面。而且，根据这种分层的思想，网络的漏洞也可以被限制在某一层，其他层则可以由于应用了各种安全策略而不受该漏洞的影响。分层思想是让网络安全解决方案得以在不同的层面实施。还有一个类似的概念称为安全岛。要用安全岛作为解决方案就不能把思维限制在网络边界的概念上，也不能只依靠一种方式来保护网络安全，应该分层进行保护——即把网络分成边界、分布层、核心层和接入层。分层思想还与每个环境中所使用的技术已经在各层使用不同技术的复杂性有关。之所以说它复杂，是因为网络同时应用了多种协议、应用程序、硬件和安全保护机制，而它们又处于OSI模型的一层或多层中。网络环境可以分为很多层，同样的道理，不同的攻击类型也是针对其中的某层进行攻击，因此也需要采取不同的应对之策。依据分层思想，TCP/IP协议同样面临着不同程度的安全威胁。物理层物理层的作用大家都已经熟知，这里无需介绍。那么在物理层面临的安全威胁有：设备被盗、设备老化、意外故障、电磁辐射泄密等。如果局域网采用了广播方式，那么本广播域中的所有信息都有可能被侦听。数据链路层由于在数据链路层应用得最多的就是ARP协议，那么相对应的出现得最多的安全威胁就是ARP欺骗。一旦出现这样的攻击，轻则导致内网部分电脑不断地掉线，上网应用不正常，重则影响到局域网到外网的所有上网行为。网络层网络层上的安全威胁主要有：IP地址欺骗、IP包碎片、ICMP攻击、路由欺骗等等。传输层传输层将应用数据分段，建立端到端的虚连接，提供可靠或者不可靠的传输。该层具有TCP和UDP两类，其中TCP是面向连接的，提供可靠的流服务，UDP是无连接的，提供数据报服务。TCP采用三次握手建立连接、滑动窗口大小控制、确认重传机制来保证可靠的连接，从而弥补IP协议的缺陷。但在这个层次也存在着许多的攻击和威胁：TCP初始化序列号预测、端口扫描、Land攻击、TCP欺骗、TCP会话劫持、SYNflooding、RST和FIN攻击、winnuke、UDPflooding攻击等等。应用层应用层主要功能是提供TCP/IP应用协议以及应用程序编程接口，是网络用户与TCP/IP网络的接口，包括各类用户应用程序和应用协议。如HTTP、TELNET、FTP、DNS、E_MAIL等。基于应用层协议的攻击主要有：电子邮件攻击、DNS欺骗、针对HTTP服务的攻击等等。网络边界安全网络中需要保护的信息的边界，采用技术、管理等手段，建立用于保障网络信息的安全措施；防火墙完成阻塞非法的流量；VPN完成远程的安全访问。网络终端安全终端安全是网络安全的重要组成部分，保证终端上没有病毒或木马的存在，才能最大可能地保证网络中数据的安全；保障网络安全必须要求做到以下几个方面，一方面：在网络中保证进入和传输的数据都是安全可靠的；另一方面：在终端上保证数据在发送到网络上前就已经是安全可靠的；目前网络终端面临的威胁：病毒、木马、蠕虫；网络攻击、操作系统本身的漏洞等；解决问题的方法：一方面需要从网络上进行处理，如防火墙、IDS/IPS等；另一方面需要从终端入手，如：病毒防范技术、终端安全增强技术、终端安全接入技术等；病毒防范技术包括特征码扫描、实时监控技术、虚拟机技术、完整性校验和扫描等；终端安全增强技术包括网络接入控制NAC、网络访问保护NAP、可信网络连接TNC等；终端安全接入技术包括补丁管理、个人防火墙、基于行为规则的安全防范技术、虚拟机技术、登录增强技术等。网络设备安全网络设备包括主机（服务器/工作站/PC）和网络设施（交换机和路由器等)。从网络设备角度来看，以下是常见的安全威胁：蠕虫/病毒/垃圾邮件在网上泛滥；黑客恶意攻击，DDOS拒绝服务攻击；管理人员对网络设备的简单配置和随意部署；内部人员任意下载和拷贝；内部人员无意或者有意的尝试闯入敏感区域。一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、管理安全等等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面分别来阐述普遍的中小型企业网络系统的安全规划并介绍相关的安全技术:4.2访问控制控制网络访问的基本步骤之一，就是在网络内控制数据流量。而实现这个目标的方法之一，就是使用访问控制列表（ACL）。ACL不仅简单高效，而且在所有主流Cisco产品上都可以使用。CiscoIOS具有限制流量流入式流出网络的的功能，因为它为ACL提供了流量过滤功能。使用ACL有时也称为过滤，这是因为ACL可以通过放行和拒绝网络访问的方式，对流量就行控制。ACL通过放行和拒绝语句控制网络访问，以此实现安全策略，它是端到端安全解决方案的必要组成部分。然而，在实施公司安全策略时，除了ACL之外，诸如防火墙、加密与认证、入侵检测与防御解决方案等产品和技术也同样必不可少。以下是实施ACL的相关准则：ACL可以应用在一台设备的多个接口上。同一个接口在同一方向上只能对同一协议使用一个访问控制列表。这就是说可以在一个接口上应用两个ACL：一个出站列表，一个入站列表。设备会自顶向下一次对ACL进行处理，因此，在选择访问列表的顺序时一定要格外谨慎，最精确地条目一定要写在前面。在配置ACL的时候，路由器会把最新输入的ACE放在最下面。在新版IOS中，有一个ACL顺序调整的功能，也就是说是用户可以重新设置ACE条目的顺序。有一个“隐式拒绝”保留给那些没有被匹配的流量，因此，只有一条deny语句的ACL等于拒绝了所有流量。换句话说，一个ACL至少要有一条permit语句，否则所有流量就都会被阻塞。要始终遵循先创建ACL，再把它应用到接口的步骤。要对ACL进行修改或编辑时，一定要先把这个ACL从接口移除，然后进行修改，最后再重新把它应用到那个接口中。应用到路由器接口的出站ACL只检查通过路由器的流量——也就是说，它不会去检查那些路由器自身产生的流量。4.3设备安全该部分是从设备安全策略入手，讲述保护设备的普遍原则。以路由器、交换机、防火墙作为介绍的重点。包括如何对设备进行访问、如何限制对设备的访问、如何加固安全配置、如何识别不需要的服务、如何管理设备、如何对服务进行监测和审计等。在对设备进行管理时，防火墙、交换机、路由器都有着各自的特性。4.3.1设备安全策略安全策略是由一系列的规则、惯例与流程组成，他们共同界定了如何对敏感信息进行惯例、保护和分发。在众多的安全策略中，有一种专为保护设备安全而建立的规则。Cisco设备如路由器、交换机、防火墙、集中器等都是网络的组成部分，重点保护这些设备是网络安全策略的重要环节。对于一个企业来言，设备安全策略是必不可少的。设备安全策略所制定的规则可以保护对设备的访问，也就是进行访问控制。对于网络中的所有设备，设备安全策略也规定了他们最低限度的安全配置。4.3.2设备加固设备加固是网络安全最基本的组成部分，实施设备加固可以使设备拒绝非法用户的访问机操作行为。如果让入侵者没有经过授权就获得了访问设备的权限，那么再采取其他安全措施就很多余了。4.3.3设备物理安全在大多数情况下，放置设备的场所（物理位置）对入侵者来说既是第一道防线，也是最后一层屏障。物理安全让入侵者无法在物理层面上对设备进行访问，即入侵者无法接触到设备实物。因此，物理安全比网络安全更加重要，可惜网络管理员总是无视这个环节。无论上层采取了何种安全防御措施，一旦物理层被侵入，整个网络即告沦陷。综上所述，用一个安全的物理场所来存放设备，并且保证该场所仅对获得授权的工作人员开放，这比什么都来得重要。4.3.4用户账户用户身份验证可以通过用户名和密码的组合参数来实现。为建立基于证书的认证系统，可以为所有操作设备的用户设置用户名。用户名需要在全局配置模式下配置，配置后的用户名会保存在设备的本地数据库中。可以为设备的每个用户设置一个单独的登录名，这样当用户更改配置文件的时候，管理员就可以根据用户名来跟踪查看是哪个用户修改了配置文件，除此之外，单独的用户名也可以让管理员对不同的用户分别进行计费和审计。登录账户可以用username命令来生成，管理员可以对每个用户名指派不同的特权级别和密码。使用usernamesercret命令可以用MD5三类函数加密密码。用户账户可以在很多情况下使用——比如可以用于console接口、vty线路、VPN用户及远程拨号用户。不再使用的账户应该从系统配置中删除。还有一种扩展性更好的方法可供选择，即认证、授权、审计技术。4.3.5特权级别CiscoIOS有16个特权级别：0~15。默认情况下，IOS有以下3种预定义的用户级别。特权级别0包含disable、enable、exit、help和logout命令。特权级别1是用户模式，这是telnet的正常级别，包含所有router>提示的用户级别命令。特权级别15是特权模式，也称为enable模式，包含所有有router#提示的特权级别命令。所有CiscoIPS命令都预先分配给了0、1和15级。2-14级可以由用户来自定义。4.3.6交换访问方法有三种方法可以访问设备并对设备进行管理：console接口、vty接口和aux接口。Console接口Console接口是管理和配置设备时的默认访问方式。这种连接类型通过TTY线路0，以物理的方式连接在设备console接口上，默认情况下，console接口没有配置密码。操作结束后，不应该保留console接口的登录状态而应该退出登录。因此，建议为console线路上的EXEC会话配置超时时间，这样的话如果用户忘记退出或长时间让会话处于空闲状态，设备就会自动注销空闲的会话。VTY接口CiscoIOS支持通过多条逻辑vty链路连接设备，以此实现对设备的远程交互式访问，CiscoIOS支持超过100条vty链路。默认情况下可以使用命令linevty04来使用其中的5条vty链路。与console接口相似的就是，vty链路上也没有预配密码。因而，用强壮的密码和访问控制机制来保护这些链路是十分必要的。需要注意的是，尽管在默认情况下vty链路上没有配置密码，但是只有用login命令来放行允许远程访问之后，用户才能通过vty链路访问设备。另外，还可以使用 ACL来进一步深化对访问的控制，一次实现只有合法用户才可以访问设备的目的，即仅允许一些特定的IP地址访问设备。AUX接口有些设备带有一个辅助（AUX）接口，用户通过调制解调器拨号可以从这个接口连接到这台设备并对设备实施管理。大多数情况下，aux接口应该在lineaux0模式下通过命令noexec来禁用。唯有当没有任何备用方案和远程接入方式可供选择时，万般无奈之下，才可以考虑用调制解调器连接aux接口来访问设备。因为网络入侵者通过简单的战争拨号技术，就可以找到一个未受保护的调制解调器。因此，有必要在aux接口上设置认证来实现访问控制。这如前文所述：所有面向设备的连接都必须先进行认证，然后才可以访问设备，不管这个认证是在本地设备上实现还是通过TACACS+服务器或RADIUS服务器来实现。4.4保护安全设备的管理访问我们在登录设备的时候，一般为了安全起见，我们会通过各种不同的加密的方式去访问设备。4.4.1使用telnet访问Cisco的相关安全设备允许以管理设备为目的的telnet连接。处于安全方面的考虑，用户不能telnet安全级别最低的接口，除非在telnet连接用IPsec隧道进行了封装。每个虚拟防火墙支持最大5路并发telnet连接，在所有虚拟防火墙上最多支持100个并发telnet连接。为使telnet连接可以访问安全设备，需要指定哪些主机的ip地址可以向安全设备发出管理连接。4.4.2使用SSH访问一般来说，telnet是最常见的设备管理协议，但是也是最不安全的协议，因为telnet协议会话中的一切通信都是以明文的方式发送。管理设备支持管理员通过SSH协议对其进行管理访问。安全设备支持用 SSHv1和SSHv2提供远程安全访问功能，支持用DES和3DES对管理访问进行加密。要配置SSH需要先生成rsa密钥对，然后再在全局配置模式下用命令ssh来指定允许对设备进行管理的ip地址。4.4.3使用HTTPS访问ADSMCisco自适应安全设备管理器采用直观的，简单的，基于WEB的界面管理来对Cisco的一些自适应的安全设备进行管理和监控。要使用ADSM，HTTPS服务器需要使用启用ssl协议到安全设备之间的连接。4.4.4使用本地和AAA数据库进行认证与授权安全设备支持通过AAA服务器和设备的本地数据库来实现认证，授权和计费(AAA)功能。AAA功能可以对设备进行额外的保护，具有优秀的扩展性并且可以更好地实现用户访问控制功能。AAA服务体系是在对网络和设备进行访问控制策略实施中所采用的一种集成了认证、授权与记账等功能组件的模块化体系结构的安全机制。正是AAA有如此强大的功能，因此AAA服务的应用非常的广泛，在以太网接入、远程拨号连接以及Internet接入等网络环境中不仅仅对设备的管理访问进行了控制，而且对这些环境中数据资源的访问提供了系统化的、可扩展的访问控制。图4-1AAA体系结构AAA客户端——实际上就是支持AAA服务的各种网络设备。AAA服务器——典型的就是安装了CiscoACS软件的windows2000/2003的服务器。也有UNIX版本的。AAA安全协议——在AAA客户端与AAA服务器之间承载认证、授权、审计消息的AAA协议。如：TACACS+、RADIUS。TACACS+:终端访问控制器访问控制系统，Cisco的私有安全协议，承载于TCP协议中，端口号为49，它提供了单独的和模块化的验证、授权和审计工具。RADIUS:远程身份验证拨入用户的服务，国际标准协议，承载于UDP协议中，端口号为1812、1813；它提供了模块化验证、授权功能和单独的统计功能。在对管理安全设备实施访问控制的方面，可以通过TACACS+、Radius和本地数据库实现AAA功能。需要注意的是本地数据库不支持计费功能，Radius不支持授权功能。这倒不是这些设备不支持这些功能，而是协议自身存在的局限性。4.5交换机的安全我们的二层网络是通过交换机来抵御安全威胁的，这些威胁源自于OSI模型第二层(数据链路层)的诸多缺陷。当数据流穿越网络时，交换机会住在流量的转发。因此，为了打造功能丰富、性能优良、设计完善的网络，我们应该把目光集中到交换机的安全特性上。在网络设备之间进行数据传输时，数据链路层面临着严峻的考验。然而，网络安全符合短板效应，也就是说网络中最薄弱的环节决定了网络整体的安全性，二数据链路层也是网络整体的一部分。如果第二层不能得到有效地保护，那么即使在上层实施最好的安全策略也是无济于事。考虑到这些问题，Cisco交换机提供了广泛的二层安全特性，这些特性既可以用来保护网络中的数据，也可以保护设备自身。下面将会涉及到二层网络的相关安全保护机制。4.5.1端口级流量控制基于端口的流量控制特性可以提供端口级别的保护。而Catalyst交换机可以提供的相关特性有StormControl、ProtectedPorts、Pvlan、PortBlocking和PortSecurity等。StormControl当恶意数据包在本地局域网内泛洪，产生超过网络承载能力的多余流量并影响了网络的性能，就叫做发生了一次局域网风暴。网络风暴产生的原因不胜枚举，比如网络协议栈字的错误应用、设备的不当配置，这些问题都可以引发网络风暴。而风暴控制特性则可以让物理接口的广播、组播和单播流量服务对正常的网络流量形成干扰，进行一次监控，然后再把所获得的数据配置在设备上将风暴抑制级别进行对比。可以根据以下两种方式来衡量相应流量是否需要进行抑制。(1)传输流量占端口可用总带宽的百分比，可以单独对广播、组播和单播流量进行监控。(2)接口接收广播、组播和单播数据包的流量速率，即该接口每秒收到了多少数据包。不管使用哪种方式，只要监控所得的数值超过了设定的门限值，端口就会被阻塞，所有的后续流量都要被过滤掉。而且只要端口处于阻塞状态，它就会不断地丢弃数据包，直到流量速率降低到设定的门限之下。那时候，端口会恢复到正常状态，流量也重新得以转发。ProtectedPort、PvlanEdge不同的网络环境需求各不相同，有时候，企业的管理员希望处于同一个本地局域网中的主机不能交互数据，也就是隔离主机之间的通信。端口隔离特性可以建立一道如防火墙的屏障来隔离通信。在交换机隔离端口之间传输的一切广播、组播和单播流量都会被过滤。但是，端口隔离具有本地意义，换句话说，此特性不能再为位于两台不同交换机的两个接口上起到这种隔离效果。端口隔离特性如下:(1)交换机不能为隔离端口之间转发流量，它们之间的数据转发必须通过三层设备以路由的方式来完成。(2)像路由更新这样的管理流量不在隔离的范畴之列，这类流量可以直接在隔离端口间通过交换机转发隔离端口和未隔离端口之间的流量已默认形式正常转发。PVLANPVLAN可以提供端口级别的安全功能，它可以阻止同一个VLAN内的端口间的相互通信，不管这些端口是位于同一台交换机上。也就是说，所有处于同一个PVLAN中的端口都可以被相互隔离。PVLAN中的端口能和某个指定的路由器接口进行通信，而绝大多数情况下，人们会在这里指定默认网关的ip地址来和PVLAN中的端口通信。PVLAN可以和普通的VLAN在通一台交换机中共存。PVLAN特性可以分离二层的流量，因此它会把广播数据包变成一个类似于非广播多路访问的数据包。PVLAN特性不仅可以阻隔终端系统间的通信，还可以减少网络中子网和VLAN的数量，尽管在单一的网络中，划分子网依旧是当前最流行而又有效地管理方法。PVLAN之所以可以减少子网数量，是因为使用了PVLAN的网络就没有必要额外添加其他的子网或者VLAN了。PVLAN的端口类型包括杂合端口、孤立端口和团体端口。孤立端口和团体端口的流量可以通过trunk在交换机中流入流出，因为trunk支持孤立端口、团体端口和杂合端口的流量在其中进行传输。PortBlocking当一个数据包到达交换机时，交换机会查看它MAC地址表中的目的MAC地址，以判断应该把这个数据包从哪一个端口转发出去。如果交换机在它的MAC地址表中找不到符合的MAC地址，那么交换机就会向同一个VLAN中的所有广播未知单播、组播流量。而发送未知单播、组播流量到一个隔离端口的这种行为存在着安全隐患。可以使用端口阻塞特性来防止端口转发未知的单播、组播帧。PortSecurity端口安全是一个动态特性，是一种控制终端接入的技术，主要是通过在交换机的端口上定义具体的终端MAC地址或者MAC地址的数量来控制交换机允许接入的终端或终端的数量，它可以把非法访问交换机端口的流量拒之门外。该特性可以识别哪些主机MAC地址访问交换机端口，通过这样的方法来限制访问交换机的行为。如果将安全的MAC地址分配给了某个受保护的端口，那么若源MAC地址不在安全的MAC地址之列，交换机就不会传递该主机的数据包。针对中小型企业网中的接入层，我们的网络管理员通常通过以下的安全端口特性来实现控制。Protect:会使端口进入受保护端口模式，在这种模式下，所有源MAC地址未知的单播和组播数据包都会被丢弃。当发生冒犯行为时，不会有任何通告发送出来。Restrict:当安全MAC地址的数量达到端口设定数量的上限时，所有源MAC地址未知的数据包都会被丢弃。除非安全MAC地址的的数量减少到上限以下，或者管理员提高MAC地址数量的上限，否则端口会一直丢弃数据包。这种模式下，设备会对冒犯事件发送通告。它会发送一个SNMPtrap，把系统日志保存下来并把冒犯事件计数器中的数值加1。Shutdown:当发生了一起安全冒犯行为，端口会进入error-disable状态，LED灯随之熄灭。在这种模式下，设备也会发送SNMPtrap，保存系统日志并增加冒犯事件计数器中的数值加1。端口安全特性的注意事项：端口安全不能在动态的access口或者trunk口上做，换言之，敲port-secure命令之前必须敲switchmodeaccess命令。安全端口不能是一个被保护的端口。安全端口不能是SPAN的目的地址。安全端口不能是属于GEC或FEC的组。安全端口不能属于802.1X端口。IEEE802.1X认证802.1X认证是一种防止非授权的用户通过交换机端口接入网络，对网络进行非授权访问的认证技术。因为他是通过控制交换机端口“打开”还是“关闭”来控制非授权用户的介入，因此也把它叫基于端口的802.1X认证。802.1X认证最早用于802.11协议，解决无线LAN用户的接入认证问题，但目前已经广泛应用于一般的有线LAN环境。并且得到了各个网络设备厂商的支持，形成了IEEE标准，但实际上各个厂商的设备在802.1X认证的操作原理上还是有些特性上是存在小差异的。实施了802.1X认证的交换端口在缺省时只允许802.1X的认证消息通过，只有在认证通过后，端口才被允许方通其他所有的数据。端口可以是一个物理端口，也可以是一个逻辑端口（如VLAN)。对于无线局域网来说，一个端口就是一个信道。图4-2802.1X认证体系结构802.1X客户端——往往是安装了802.1X客户端软件的用户工作站，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，以便发起802.1X认证。这个客户端软件可以是厂商自己开发的软件，也可以是windows系统上自带的进程。认证系统（认证代理）——认证系统通常为支持802.1X协议的网络设备，如：以太网中的接入交换机或WLAN中的AP。其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或者关闭端口。认证服务器——通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否合法，并根据认证结果向交换机发出打开或者保持端口关闭的状态。建议使用radius服务器来实现认证服务器的认证和授权功能。4.5.2STP协议安全特性STP可以解决网络中的环路问题，最终形成一个五环的树状拓扑。当交换机直接按存在多条链路互联时，STP可以防止环路的形成。当硬件故障、配置错误或者网络攻击使网络中出现错误时，就会出现STP环路。BPDUGuardBPDU防护特性的设计初衷是通过强制设定STP域边界，来使网络拓扑长期保持它的有效性，并以此增加交换网的可靠性。BPDU防护特性可以对网络中的错误做出响应。想让进入error-disable状态的接口重新启用，必须手动进行配置。在服务提供商的网络环境中，BPDU防护特性也常用于防止某个access端口参与生成树协议。在stp边缘端口上启用了BPDUGuard特性以后，如果该接口受到了BPDU报文，stp就会将这个借口处于err-disable状态。若交换机开启了err-disable超时自动恢复机制，在err-disable计时器的时间内，未收到BPDU报文，则重新开启接口。若交换机没有开启err-disable超时自动恢复机制，则只能由网管人员手动shutdown处于err-disable状态的接口，然后再noshutdown重新开启该接口。RootGuard中小型企业网中，用户往往会私接交换机以扩展接口，如果私接的交换机的stp优先级值或网桥ID比现网络中根网桥更低，则会导致stp全网重新收敛，根网桥选为私接交换机，造成网络不稳定，即私接交换机“抢根”。为防止上述情况的发生，在接入层交换机的接入接口上启用RootGuard特性即可防止。根保护特性把二层端口设定成了指定端口。只要这个端口项相连的设备成为了桥根桥，这个端口就会进入阻塞状态。根防护特性需要在接口模式下使用命令spanning-treeguardroot来启用。在stp接口上启用了RootGuard特性以后，如果该接口到收更优的BPDU报文，则该接口会立即进入root-inconslistent，变为blocking状态，不收发数据，也不会成为根端口，只监听BPDU；当该接口不再收到更优的BPDU报文后正常收敛。EtherchannelGuardEtherchannel防护特性用来在交换机及与其相连的某台设备之间，检测Etherchannel的错误配置。所谓的错误配置可以是Etherchannel两端参数不一致，或者是只在一端配置了参数等。要想让Etherchannel正常工作，必须确保在两端配置的参数是一致的。如果交换机检测到了Etherchannel的错误配置，Etherchannel防护特性就会让相应的端口进入error-disable状态并同时显示错误信息。LoopGuard环路防护特性的作用是让根端口和替代端口不会因为单向链路造成的错误而变成指定端口。因此，该特性可以为避免出现二层转发环路提供额外的保障。要想让环路防护特性发挥最大效力，最好在所有的交换机上都启用了这个特性。默认情况下，生成树不会从根端口或替代端口发送BPDU。在stp接口上启用了LoopGuard特性以后，如果该接口在stp最大超时时间内收不到上游设备发送的BPDU报文，则LoopGuard特性将会生效，不论该接口是何角色，一律置为blocking状态，从而阻止二层环路的形成。LoopGuard特性一般部署在非根网桥交换机的上联接口上。4.5.3DHCPSnoopingDHCP特性用于隔绝非法的DHCP服务器，它可以在不信任的主机和DHCP服务器之间建立一道逻辑的防火墙。交换机会生成一个DHCP绑定表，并利用这个列表来对网络中不可信的消息进行过滤。DHCP绑定表会分门别类地把分配给各个端口的IP地址记录在案，并且会对那些来自不信任端口的DHCP消息进行有选择的过滤。当交换机收到了从不信任端口发来的数据包，如果这个数据包的源MAC地址和数据库中绑定的MAC地址不符，那么它就会被丢弃。图4-3DHCPSnooping工作方式DHCPSnooping可以为交换机进行配置，也可以为VLAN进行配置。如果在交换机上启用DHCPSnooping特性，该交换机所管理的接口将扮演二层网桥的角色，这些接口会拦截并监听来自二层VLAN的DHCP数据包，并对其提供防护。如果在VLAN上启用DHCPSnooping特性，交换机则会在一个VLAN域内扮演二层网桥的角色。为使DHCPSnooping正常工作，所有连接着DHCP服务器的接口都要配置成信任接口。在接口模式下，使用命令ipdhcpsnoopingtrust来把相应的接口配置成信任接口。而相应的也应该把所有与DHCP客户端相连的端口及其他端口都配置成非信任端口。4.5.4IPSourceGuardIP源地址防护能够限制二层不信任端口的IP流量。它采取的方法是，通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤。此特性可以阻止IP地址欺骗攻击，也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现攻击。任何从不信任端口入站的IP流量，只要其源地址与指定的IP地址不同，就会被过滤掉。IP源地址防护特性需要在不信任的二层接口上和DHCPSnooping共同使用。IP源地址防护会生成一个IP源地址绑定列表，并且对这个列表进行维护。这个列表级可以是通过DHCP学习到的，也可以是手动配置的。列表中的每个条目都包括IP地址及与这个IP地址所关联的MAC地址和VLAN编号。只有二层端口支持IP源地址防护特性，无论这个端口是二层的access端口还是trunk端口。4.5.5DAI(动态ARP监控)有很多的攻击都是针对二层功能网络上的设备或主机展开的，而它们大都通过用毒化ARP缓存的方式来实现，恶意用户可以拦截同一个网段中去往其他主机的流量，并且在网络中广播伪造ARP响应，从而毒化该网段中其他设备的ARP缓存。很多已知的ARP攻击都会对私人数据、机密信息以及敏感信息造成严重的破坏。为使这类攻击不再大行其道，必须确保二层交换机只转发合法的ARP请求、响应。动态ARP监控可以用来核实网络中的ARP数据包，它可以把一个IP到MAC地址绑定的映射关系储存进一个可靠的数据库中，并在将数据包转发到目的地之前，用这个数据库对它进行核实。如果DAI发现ARP数据包的IP、MAC地址绑定关系是无效的，它就会丢弃这个数据包。当DHCPSnooping特性在VLAN或者交换机上启用的同时，DHCPSnooping绑定表就会生成。图4-4DAI动态监测原理示意图4.5.6中小型企业网常见攻击方式及威胁针对中小型企业网络的攻击方式和中小型企业网络所面临的安全威胁多种多样，任何一个恶意的攻击或者误操作都将会对中小型企业网络造成破坏，给企业带来或大或小的经济损失。下面就对目前最常见的一些攻击方式和中小型企业网络的薄弱环节进行说明:1、ARP欺骗攻击(如下图所示):ARP攻击的原理是通过伪装源MAC地址发送ARP响应包，对其他终端的高速缓存进行攻击。从而在网络中产生大量的ARP广播包使网络阻塞或实现”maninthemiddle”进行ARP重定向和嗅探攻击。图4-5ARP欺骗攻击示意图2、IP地址欺骗:恶意用户可以通过伪装源IP攻击主机或服务器，非法获取企业内部资料。或者用户随意修改自己的IP地址也会造成大量IP地址冲突，或导致内网断线。图4-6IP地址欺骗攻击示意图3、DHCP的DOS攻击:DHCP服务器中的地址被安装有相关黑客工具的客户端耗尽，从而无法影响正常的DHCP请求，造成合法用户无法获取到IP地址，从而无法正常的访问网络资源。图4-7DHCPDOS攻击示意图4、DHCP服务器的冒充:黑客非法接入网络并冒充DHCP服务器，轻则用户终端获取不到正确的IP地址信息，引起终端与终端间、终端与服务器间不能通信;重则用户终端获取到不安全的IP信息，造成中间人攻击或网络钓鱼。图4-8DHCPServer冒充攻击示意图TCPSYN拒绝服务攻击（1）攻击者向目标计算机发送一个TCPSYN报文;（2）目标计算机收到这个报文后，建立TCP连接控制结构，并回应一个ACK等待发起者的回应;（3）攻击者则不向目标计算机回应ACK报文，这样导致目标计算机一直处于等待的状态。由此可以看出，目标计算机如果接收到大量的TCPSYN报文，而没有收到发起者的第三次ACK的回应，会一直等待，处于这样尴尬的半连接状态，如果很多的话，则会把目标计算机的资源给耗尽，而不能响应正常的TCP连接请求。4.5.7二层安全的最佳配置方法图4-9接入层安全控制示意图综合以上所述，特别针对企业用户网络对于二层网络的保护，特推荐使用以下常规来实现:使用安全的管理型交换机。限制交换机的管理访问，让那些位于不信任网络中的用户无法通过接口或者协议管理设备。为所有的trunk端口分配一个单独的VLANID。要有安全意识，不要用VLAN1解决所有的问题。要在所有的非trunk端口上禁用DTP。使用端口安全特性来阻止未经授权的访问。在适当的环境中，使用PVLAN特性来隔离二层的流量。在适当的环境中采用MD5认证。全面禁用CDP的功能。禁用