校园网安全接入管理的探讨.docVIP

校园网安全接入管理的探讨 　　摘 要：校园网历经十多年的发展，其建网目标、网络覆盖范围、网络架构、互联网出口、网络管理手段均发生了深刻变化。随着网络应用的发展，网络管理已从设备的管理发展到网络应用的管理，信息安全已从网络的安全发展到应用安全的管理，原有管理措施已经无法满足校园网需求。本文基于交换机E2ES功能，分析当前高校校园网中存在的广播风暴、环路、常见病毒、ARP地址欺骗、P2P应用滥用等管理难题，探讨如何通过在用户网络接入实施安全策略，构筑接入安全防御系统。 　　关键词：校园网 病毒 网络安全 P2P 防御系统 　　中图分类号：TP393.18 文献标识码：A 文章编号：1007-9416（2011）04-0136-01 　　 　　随着高校校园网快速发展、规模不断的扩大，高校学生对网络知识、网络应用软件应用工具的强烈探索欲望，原有网络结构已突显出安全的漏洞，校园内的网络时时刻刻都受到来自网络的威胁，这些无预警的突发事件，常让网络管理者措手不及。如何做好事先预防，建立一道终端安全防御体系尤为重要。南京林业大学在部分学生宿舍试点采用端点防护功能解决方案，成功构建了终端安全防御系统。 　　如何做好网络安全管理，我们根据将学校经常面临且具有代表性的网络问题分为五大类： 　　 　　1、广播风暴 　　学生宿舍网络管理一直是管理的难题及管理的重点。如VLAN该如何划分？ VLAN划分太细致使网络管理员不易于管理， VLAN划分粗了又容易造成大量的广播风暴，导致网络无法正常使用利用率下降。一般来说，交换机都会在端口启用抑制广播风暴功能，如发生超过一定流量的广播包，该端口将被立刻阻断，并每隔几分钟侦测广播风暴是否存在，当侦测广播流量下降到预设值以下后开启端口。 　　 　　2、非法私接宽带路由器 　　在校园网日常维护时我们经常会遇到这样一种故障现象：客户端突然获得不该它得到的IP地址，原因很简单有用户私接路由器时误用了LAN口，导致其他客户端获得错误的IP信息。上述情况非常普遍，给网络维护带来非常大的工作量。交换机的DHCP服务器屏蔽功能可以彻底解决该难题，在接入交换机上指定信任端口并且在该端口上只允许接收特定DHCP服务器的数据包，当侦测到有非法路由器发送的DHCP数据包时，接入交换机会立刻发送SNMP trap及log至服务器，快速定位连接非法路由器的接入交换机端口并及时断开该端口。 　　 　　3、感染蠕虫病毒及木马攻击 　　校园网用户是以学生为主要群体，他们喜欢尝试各种应用软件；此外，由于学生群体数量大，无法确保每个学生及时安装防病毒软件、防火墙等网络防御工具或实时更新病毒特征库，因此校园网极易遭受网络病毒攻击。 　　在校园网遭受病毒或木马攻击时，会伴随出现网络流量大、交换机CPU资源耗尽而导致交换机瘫痪并无法远程管理，这时我们需要启用交换机安全防护引擎。管理员可以根据具体环境的特性，设定CPU利用率的上限值，以便交换机在CPU达到该值时，能自动开启CPU安全防护引擎，并在CPU利用率下降到所设定的正常值后，自动解除安全防护，确保交换机的能正常运行维护。 　　 　　4、网络欺骗行为 　　ARP欺骗[3]一直是校园网管理者头疼的问题，此外P2Pover（P2P终结者）也是一种典型的欺骗软件，它可以欺骗其它的使用者，限制别人的带宽，自我带宽无上限，该软件还可关闭特定P2P、IM（即时通信）软件，限制特定网站及FTP不能下载等，还有诸如Netcut“网络剪刀手”等欺骗软件。 　　解决上述问题，我们的做法是在校园网接入交换机采用IP-MAC-Port绑定(IMPB)及DHCP侦听[4] (DHCP Snooping)功能防止ARP欺骗，该功能自动将网络客户端IP, MAC, Port做绑定，用户无法自行更改IP或MAC，便无法进行中间人欺骗，还可在每个端口限制MAC学习数目，当超过某端口MAC学习上限，将自动关闭端口，预防ARP攻击，避免交换机的MAC表被写满，而无法正常转发数据；启用交换机IP-MAC-Port绑定及ARP Spoofing Prevention (ARP欺骗防御)功能可成功拦截P2P终结者、网络剪刀手等欺骗软件。 　　 　　5、P2P滥用 　　随着网络的发展，各种应用软件不断增加，目前非常流行的P2P系列软件已经成为校园网的主要带宽杀手。这类应用的特点是：通讯流量巨大、种类繁多、 无固定的服务端口、协议特征变化迅速，正常的上网行为已经为此受到很大影响，现在问题的关键是这种P2P应用还有进一步发展的趋势，更多的P2P软件工具和应用被开发出来，伴随而来的是在监控系统上看到的不断上涨的校园网带宽占有率。 　　目前大多数学校采用流控设备、P2P缓存技术、限制单个IP地址带宽及进程数