基于接入层的网络安全解决方案研究.doc

基于接入层的网络安全解决方案研究 Research of Solution for the Network Security Based on the Access Layer 曾梦良 郑雪峰 Zeng,Mengliang Zheng,Xuefeng 北京科技大学信息学院计算机系 100083 (School of Information Computer, USTB Beijing, Beijing 100083, China) 摘要：本文详细分析了几种攻击手段的原理和危害，并从接入控制和业务流控制两方面着手，以802.1X和DHCP协议为基础，给出了完整的多层次的解决方案，软件处理和硬件过滤相结合，即保证了网络的安全性，又最大限度维持系统的高效率运行，使得系统的可靠性、稳定性、可用性都达到了一个比较高的水平。 关键词：802.1X，动态主机配置协议，地址解析协议，接入层，网络安全 Abstract: This paper detailedly analyses some kinds of network attacking methods and their harm to the users.From the access control and the flow control on the network,the paper presents a complete solution aim at this attackings based on the Port Based Network Access Control Protocol and the Dynamic Host Configuration Protocol.The solution units the process of software and the hardware filter,not only makes sure the security of the network,but also keeps the high efficiency . Keywords: 802.1X, DHCP, ARP, Access Layer, Network Security 1 引言 计算机技术的提高和计算机网络的广泛使用，大大扩展了信息资源的共享和交互，引发了意义深远的重大变革，使人们的工作、学习和生活发生了巨大的变化。然而，最初面向研究机构的因特网以及相应的TCP/IP协议是针对一个安全的环境而设计的——所有的用户都相互信任，对开放、自由的信息交换有兴趣，而对安全方面的考虑较少，因此网络存在很多的安全隐患，给了黑客们可乘之机。随着时代的发展，网络上信息传递的信息量和重要程度都在急剧增加，网络攻击已经成为窃取信息、破坏发展的重要手段，其程度和频率不断增多。在网络深入到党政办公系统、金融系统、商用系统以及军用系统等各个行业的今天，网络安全尤为重要。 本文总结了网络中几种严重的攻击方式，并提供了立体的、多层次的解决方案，同时根据大部分网络攻击特点，将攻击终结在接入层，大大减少了上层核心网络被攻击的风险和业务处理负担。本文提供的解决方案是针对接入层交换机的方案。 2 攻击方式概述 本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可概括为两个途径：人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络中安插木马，从而进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。 2.1 MAC/CAM泛洪攻击 MAC/CAM泛洪攻击是指利用工具产生大量欺骗MAC，快速填满CAM表，交换机CAM表被填满后，流量在所有端口广播，导致交换机就像共享HUB一样工作，这时攻击者可以利用各种嗅探攻击获取网络信息。同时CAM表满了后，流量以洪泛方式发送到所有接口，也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 2.2针对DHCP的攻击 采用 DHCP协议可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题。 2.2.1 DHCP报文泛洪攻击 DHCP报文泛洪攻击是指利用工具伪造大量DHCP请求报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源；另一方面使得服务器高负荷运行，无法响应合法用户的请求，造成网络故障