浅议高校校园网网络安全策略.docVIP

浅议高校校园网网络安全策略 　　【文章摘要】 本文分析了当前高校校园网的各种攻击现象，并由网络核心设备的功能展开说明，提出了网络核心设备的安全功能措施要求，并提出了整个校园网的安全策略。 【关键词】 校园网；安全功能措施；安全策略 网络安全是任何一个网络建设时首先要考虑的重要问题，高校校园网的环境更加复杂，学生的技术水平都较高，好奇心比较强，其网络安全更加值得关注。 TCP/IP网络本身就存在很多安全漏洞，很容易被一些恶意用户利用并实施攻击，或非法占用网络资源，侵犯其它用户的合法利益，甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力，在校园网络中最关键的安全设备就是学校出口路由交换机。出口路由交换机作为BAS设备，除了保护自己外，还要特别担负起对所有接入用户的安全保护，因此BAS设备的安全功能是极其重要和基本的。它的安全功能措施分为两类，一类是自身防攻击措施，另一类是用户安全保证措施。 防攻击措施主要包括以下功能： 1.DHCP申请数限制 限制每个VLAN物理链路上同时申请的DHCP地址个数，防止对DHCP SERVER的攻击。 2.安全ARP 一般路由设备在外网段发起PING操作时如果发现PING的目的地址是其本网段的IP地址，且在ARP表项中没有该IP地址时，将代为发起ARP请求，这样如果网上出现类似“红色代码病毒”的攻击，一般路由设备将不堪负重。 3.广播抑制 应对上交给控制软件处理的广播报文实施流控，减少对系统资源过量和突发耗费。 4.非法报文早期丢弃 对收到的非法类型或本系统不关心的报文能早期发现并丢弃，不上交给控制软件处理，以减少对系统资源的耗费。 5.控制报文分优先级上交处理 将控制报文分优先级上交给控制软件处理，以确保重要的控制业务优先实施，具体优先顺序从高到底依次为：PPP连接协商控制报文、PPPoE连接协商报文、ARP请求报文、各种广播报文、ICMP报文。 用户安全措施主要包括以下功能： 1.对用户认证密码的安全性保障 对PPP拨号用户和WEB用户登录密码分别用CHAP、HTTPS等协议进行加密后再进行传输。 2.限制每个VLAN-ID上的用户数量 通过配置“MAX-USER”命令对每个VLAN端口上的最大允许用户数（限制接入IP地址数，包括PPP连接数-限制PPP Session数）进行限定，并在用户接入过程中进行控制，在一定程度上增加恶意攻击的难度。 3.对用户带宽做控制 对于每个VLAN用户可以做精确带宽控制，从而使大流量攻击受到抑制 4.专线用户地址反欺骗 对静态或动态地址的专线用户的IP地址盗用都能实现有效的防止 5.异常用户来源的识别 各种异常现象发生时，BAS设备的告警信息能记录并显示出异常用户的来源信息，以便于查明具体用户 由以上分析，我们可以采取如下安全策略： 1.用户严格隔离 方法一：用Vlan隔离。在楼道以太网交换机上按端口划分Vlan，每个用户占用一个Vlan。 方法二：利用Private Vlan技术。在楼道交换机上划分Private Vlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。 方法三：使用以太网MUX设备。该类设备将楼道交换机的端口分为两类：上行口Uplink和用户端口。用户端口之间不能通信，Uplink口可以和所有端口通信。 2.用户唯一标识 一般的边缘路由器对于用户上行报文，只根据目的IP地址进行转发，不做源地址检查，这是出现网络和用户安全性问题的根本原因所在。对于静态IP地址分配方案，可以将用户的VLAN ID+IP绑定；对于动态IP地址分配方案，可以将用户的VLAN ID+IP+MAC进行绑定。VLAN信息由设备构造，不可仿冒，可作为用户上网的唯一标识。 3.防止对DHCP服务器的攻击 使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。 由于DHCP是通过二层广播包起作用的，故在二层严格隔离用户，可防止DHCP Server假冒。为解决DHCP Smurf，在以太网接入时，对用户划分Vlan，由出口路由交换机控制一个Vlan下申请的最大IP地址数，当该Vlan的IP地址数目达到限制值后，拒绝新的DHCP申请。Vlan的划分可根据学校的实际情况灵活掌握。 4.恶