基于校园网络的核心交换机安全配置.docVIP

基于校园网络的核心交换机的防攻击策略 ★姓名： 沈斌良 班级： 计算机083 学号： 姓名： 陈显锚 班级： 计算机083 学号： (★为本方案的主要负责同学） 计算机与信息学院 二〇一一年六月 一、方案背景 随着高校信息化建设的发展，高校校园网普及程度越来越高，校园网在教学、科研、校内政务管理方面起到了积极地作用。校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。由于校园网的特殊性和高校学生群体的特殊性，校园网络受到了更多的攻击，包括黑客恶意攻击和无意识攻击。在核心交换机配置防攻击策略，可以达到保护校园骨干网的正常运行，提高校园网的完全性。 二、方案设计任务分工 沈斌良：方案撰写 陈显锚：资料搜集 三、需求分析 该方案主要致力于在校园网络中对于核心交换机的安全配置，随着校园网的普及和迅速发展，校园网的安全性成为当前备受关注的问题。核心交换机较高的可靠性和性能，不仅保障了骨干网高速转发通信和性能优化，而且通过防防攻击策略，可以提高校园网的安全性。在核心交换机中，我们主要需要解决一下几个问题： 1．MAC／CAM攻击防范； 2．DHCP攻击防范； 3．ARP攻击防范； 这3个安全防范对于校园网络来说是非常重要的： 1．MAC／CAM攻击防范：交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 2．DHCP攻击防范：采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，随之存在的隐患有DHCP server的冒充、DHCP server的Dos攻击、用户随便指定地址而造成网络地址冲突。 3．ARP攻击防范：ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目，造成网络中断或中间人攻击。 四、网络安全设计方案 网络拓扑结构图 图表 SEQ 图表 \* ARABIC 1 网络拓扑图 设备选型 鉴于本方案主要是实施在核心交换机上，因此其他设备不做介绍，主要介绍核心交换机的选择。核心交换设备应当采用高性能模块化三层交换机，支持交换引擎冗余和关键部件的热插拔。建议选择Cisco Catalyst 6500-E系列（如图2所示）或锐捷RG―S8600系列产品。较小规模的学院级校园网络，也可以选择Cisco Catalyst 6500-E系列或锐捷RG―S6800-E系列产品作为核心交换机。 图表 SEQ 图表 \* ARABIC 2 Cisco Catalyst 6500-E 安全架构分析 本设计的安全架构分析主要基于在需求分析中所提出的三种攻击防范，通过在核心交换机中的命令输入来实现对其的配置。 1．MAC／CAM攻击防范： 通过Port Security feature可以防止MAC和MAC／CAM攻击.。通过配置PortSecurity可以控制端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址、对于超过规定数量的MAC处理进行违背处理。例如，端口上最大可通过的MAC地址为10，通过端口的MAC地址为000b．dbld．6ccd。对于超过数量的MAC的非法流量丢弃并报警，具体配置如下： Switch(config-if)#switchport port—security maximum 10 Switch(Config—if)#switchportport—security mac-address sticky