【文章內(nèi)容簡介】 個網(wǎng)絡的邊緣，學生通過接入設備接入網(wǎng)絡。為保證整個網(wǎng)絡安全高效的運行，作為網(wǎng)絡的入口接入設備的智能識別是一項重要的功能。 智能識別包括用戶識別和數(shù)據(jù)業(yè)務類型識別。用戶識別是為了保證網(wǎng)絡的安全。業(yè)務類型識別是保證業(yè)務數(shù)據(jù)的分類，幫助 網(wǎng)絡對業(yè)務數(shù)據(jù)的服務質(zhì)量。接入層需要滿足以下功能： ?將流量接入網(wǎng)絡 ?控制訪問－ 的能力 ?執(zhí)行其它的邊緣功能 ?端到端的 ACL 訪問控制能力，并能夠提供極高的安全特性，如防 ARP 欺騙，防 clonePC 等。 ?端到端的 QOS 運營質(zhì)量提供能力 根據(jù)學校應用需求，建議接入交換機采用神州數(shù)碼 DCS3950 系列智能可堆疊交換機，其中 24 口百兆接入交換機采用 DCS395028CT,48 口百兆交換機采用 DCS395052CT。 DCS3950 系列智能安全接入交換機屬于百兆接入、千兆上聯(lián)的二層以太網(wǎng) 交換設備 ,其在安全、運營等方面極具特色，適用于教育、政府、大中型企業(yè)的網(wǎng)絡接入。 DCS395028CT 提供 24 個百兆電口，在固化 2 個千兆 Combo 的基礎上 ,更提供 2 個固化千兆電口，一共提供 4 個千兆端口，或光或電或堆疊，用戶可隨心選擇； DCS395052CT 提供 48 個百兆電口，在固化 2 個千兆 Combo 的基礎上 ,更提供 2 個固化千兆電口，一共提供 4 個千兆端口，不僅能為工作組內(nèi)服務器提供千兆銅纜的直接接入，還同時為級聯(lián)、堆疊、上行提供了豐富的端口選擇。 DCS3950 系列支持堆疊功能 ,采取無風扇靜音設 計，并采取固化上聯(lián)端口的形式，端口類型組合豐富，為用戶組網(wǎng)提供了很大的擴展性和便利性。 作為新一代的網(wǎng)絡產(chǎn)品， DCS3950 系列交換機具有強大的安全特性，如強大的 ACL、整機支持 1K 條 ACL，且 ACL 可以在所有端口自由分配，防攻擊能力可有效抵抗病毒和 DOS 攻擊，保護自身和匯聚、核心設備的安全穩(wěn)定運行。完全的硬件轉(zhuǎn)發(fā)、以及基于 ASIC 的 ACL 機制可以在病毒泛濫時使正常數(shù)據(jù)不受任何影響。 同時 DCS3950 系列交換機支持完整的神州數(shù)碼增強型 認證計費解決方案，支持按交換機端口和 MAC 地址方式的認證。 實施該套方案后，用戶在不通過認證的情況下將無法使用網(wǎng)絡，可以有效避免用戶私自更改 IP 對網(wǎng)絡的沖擊。配合神州數(shù)碼的安全接入控制與計費系統(tǒng) DCBI3000 和 客戶端，可以實現(xiàn)按時長 /流量計費，可以實現(xiàn)用戶帳號、密碼、 IP、 MAC、 VLAN、端口、交換機的嚴格綁定，還可以防止代理軟件，對合法客戶發(fā)送通知 /廣告，進行上網(wǎng)時段控制，基于用戶動態(tài)實現(xiàn) VLAN 授權(quán)和帶寬授權(quán)，可基于組策略實現(xiàn)動態(tài) IP 地址分配而不必使用 DHCP 服務器等。 DCS3900S 系列交換機是實現(xiàn)網(wǎng)絡運營的非常理想的接入交換機。 認證計費系統(tǒng)： DCBI3000 根據(jù)此次的要求，在核心交換機上需要以旁路的形式，側(cè)掛認證計費系統(tǒng)， DCBI3000 具有最大支持 10 萬用戶。支持增強 、增強 Web、 PPPoE 等認證方式，能夠為校園、企業(yè)、寬帶小區(qū)提供可管理、可運營的完整的解決方案。 認證計費系統(tǒng)是校園網(wǎng)運營的核心組件，如果一旦出現(xiàn)問題重要數(shù)據(jù)的丟失會給學校帶來不可估量的損失。用戶認證計費系統(tǒng)對維護校園網(wǎng)絡的正常運營至關重要，建議采用一主一備的配備。在一套系統(tǒng)出現(xiàn)服務中斷的情況下，另外一套系統(tǒng)能夠立刻接管。第五章 宿舍網(wǎng) 絡安全解決規(guī)劃及解決方案 ARP 常見威脅及 DCN 方案 ARP 欺騙是指什么？很多網(wǎng)絡用戶都不太明白，但他們在使用網(wǎng)絡的時候，卻時常會遇到這樣的現(xiàn)象：計算機網(wǎng)絡連接正常，但卻無法打開網(wǎng)頁，并且發(fā)現(xiàn)發(fā)送的數(shù)據(jù)包明顯少于接收的數(shù)據(jù)包； 網(wǎng)絡訪問時斷時繼，掉線頻繁，網(wǎng)絡訪問速度越來越慢，有時則長時間不能上網(wǎng)， 有時 過一段時間后又會恢復正常 ； IE 瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等 ；仔細檢查你會發(fā)現(xiàn) 同一網(wǎng)段的所有上網(wǎng)機器均無法正常連接網(wǎng)絡 ， 打開 交換或路由設備 的系統(tǒng)歷史記錄中看到大量的 MAC 更換信息 。 一旦網(wǎng)絡出 現(xiàn)了上述的癥狀，你就該第一時間反應過來，你是否正收到來自 ARP 欺騙的威脅！ 目前，惡意主機可以在端點毫不知情的情況下竊取兩個端點之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽 IP 電話內(nèi)容 ，給網(wǎng)絡用戶造成了極大的威脅。 一般，我們認為 ARP 欺騙有兩種形式，一是 ARP 仿冒網(wǎng)關，另一是 ARP 欺騙主機，下面的內(nèi)容將向你詳細描述。 ARP 相關威脅 ARP 欺騙 ARP 欺騙主機 IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙 ，核心就是向網(wǎng)絡中發(fā) 送錯誤的 IP 和 MAC 對應的 ARP 請求，使得網(wǎng)段內(nèi)其它主機更新自己的緩存表，把錯誤信息加入到緩存表中，而使得網(wǎng)段內(nèi)某些合法主機無法實現(xiàn)正常通信 。 舉例說明，如下圖： 主機 D 維護著一個緩存表，正確的記錄著網(wǎng)段內(nèi)主機的網(wǎng)絡地址和物理地址的對應關系，惡意主機A 發(fā)送 ARP 欺騙： 對應 MAC A，主機 D 對此作出響應，并更改自己的緩存表，如下圖： 主機 D 主機 B 主機 A 向 D 發(fā)送 ARP 響 應 ： MAC A …… …… MAC C MAC B MAC A 廣東教育學院學生宿舍網(wǎng)絡方案 第 14 頁，共 54 頁 在主機 A 進行 ARP 欺騙前，主機 B 與主機 D 之間是正常的數(shù)據(jù)交互關系，而當主機 A 發(fā)起攻擊后，主機 D 依錯誤請求修改了自己的緩存表，于是，主機 D 就把原本發(fā)給主機 B 的數(shù)據(jù)包全部發(fā)給了主機 A。 ARP 仿冒網(wǎng)關 ARP 仿冒網(wǎng)關可能會對整個網(wǎng)段造成更大的危害。 攻擊者 通過 發(fā)送帶假冒源地址的 ARP 包，希望默認網(wǎng)關或其它主機能夠承認該地址，并將其保存在 ARP 表中。 ARP 協(xié)議不執(zhí)行任何驗證或過濾就會在目標主機中為這些惡意主機生成記錄項， 這是網(wǎng)絡隱患的開始 。 舉例說明，如下圖： 網(wǎng)關維護著一個正確的網(wǎng)段內(nèi)邏輯地址與物理 地址的對應表，如上圖所示，惡意主機 A 為了攻擊網(wǎng)關，在網(wǎng)段內(nèi)不斷的發(fā)送 ARP 請求，例如： 對應 MAC A， 則主機 B、 C、 D都相應的更新自己的緩存表，于是攻擊源成功仿冒了網(wǎng)關。 網(wǎng)關 主機 D 主機 C 主機 B 主機 A 主機 D修改了緩存表，同時把發(fā)給 B的數(shù)據(jù)直接發(fā)給了 A …… …… MAC C MAC A MAC A 網(wǎng)關 E： 主機 D 主機 C 主機 B 主機 A 在 網(wǎng) 段 內(nèi) 發(fā) ARP 響應： MAC A …… …… MAC B MAC A MAC E 廣東教育學院學生宿舍網(wǎng)絡方案 第 15 頁，共 54 頁 如上圖所示，系統(tǒng)認為主機 A 為網(wǎng)關，于是本該發(fā)到交換機 E 的數(shù)據(jù)都發(fā)到主機 A 上面，主機 A 成功的讓被他欺騙的主機向假網(wǎng)關發(fā)數(shù)據(jù)，給網(wǎng)絡造成了極大的安全隱患，表現(xiàn)在 B、 C、 D 主機上就是網(wǎng)絡中斷。 ARP 掃描和 Flood 攻擊 ARP 掃描是一種常見的網(wǎng)絡 攻擊方式。為了探測網(wǎng)段內(nèi)的所有活動主機，攻擊源將會產(chǎn)生大量的 ARP Request 報文在網(wǎng)段內(nèi)廣播，這些廣播報文極大的消耗了網(wǎng)絡的帶寬資源；攻擊源甚至有可能通過偽造的ARP 報文在網(wǎng)絡內(nèi)實施大流量攻擊，使網(wǎng)絡帶寬消耗殆盡而癱瘓。遭受 ARP 掃描攻擊的網(wǎng)絡，網(wǎng)段內(nèi)的主機表現(xiàn)出來的狀態(tài)就是無法連接網(wǎng)絡。 而且 ARP 通常是其他更加嚴重的攻擊方式的前奏，如病毒自動感染，或者繼而進行端口掃描、漏洞掃描以實施如信息竊取、畸形報文攻擊，拒絕服務攻擊等。 還有另外一種 ARP 攻擊方式，它也是以大量發(fā)送 ARP 報文的攻擊形式來實現(xiàn)的 ，我們稱之為 ARP flood。 如上圖所示，危險主機不斷發(fā)送大量偽造 ARP 數(shù)據(jù)到交換機，刷新其 MAC 地址表，使其達到交換機 E 主機 D 主機 C 主機 B 主機 A 不斷向 交換機 發(fā)送大量含虛假 MAC地址 的 ARP數(shù)據(jù)包 網(wǎng)關 E： 主機 D 主機 C 主機 B 主機 A 網(wǎng)段內(nèi)其它主機修改自己的緩存表，并認為主機 A就是網(wǎng)關 ?? ?? MAC B MAC A MAC A 廣東教育學院學生宿舍網(wǎng)絡方案 第 16 頁，共 54 頁 存儲上限，造成 MAC 地址表的溢出。 此時，由于有大量的 MAC 地址刷新，交換機無法處理，于是交換機自動降級成為 HUB，執(zhí)行泛洪操作，也就是把數(shù)據(jù)發(fā)往所有端口。 于是，大量的網(wǎng)絡帶寬被占用，同時交換機的 ARP 表被大量的錯誤信息占滿，用戶上網(wǎng)速度會變得非常的慢，或直接表現(xiàn)為網(wǎng)絡中斷。 DCN防 ARP威脅解決方案 ARP 欺騙首 先是通過偽造合法 IP 進入正常的網(wǎng)絡環(huán)境，向交換機發(fā)送大量的偽造的 ARP 申請報文，交換機在學習到這些報文后，可能會覆蓋原來學習到的正確的 IP、 MAC 地址的映射關系，將一些正確的IP、 MAC 地址映射關系修改成攻擊報文設置的對應關系，導致交換機在轉(zhuǎn)發(fā)報文時出錯，從而影響整個網(wǎng)絡的運行?；蛘呓粨Q機被惡意攻擊者利用，利用錯誤的 ARP 表，截獲交換機轉(zhuǎn)發(fā)的報文或者對其它服務器、主機或者網(wǎng)絡設備進行攻擊。 接入交換機 ACL 防止 ARP 仿冒網(wǎng)關 假定 DCN交換機 0/1/1口用于上聯(lián)， 0/0/124直接連接計算機 終端，網(wǎng)關地址為 ，我們需要在下行口上增加 ACL阻止所有仿冒 ARP通告。 網(wǎng)關不同則相應得 16 進制數(shù)不同，配置的時候需要計算轉(zhuǎn)換。該配置完成后，終端發(fā)出的仿冒網(wǎng)關的 ARP 通告將被 deny。 DCN 接入交換機＋ DCBI＋靜態(tài) IP 地址分配 靜態(tài) IP 地址分配是指在每一臺主機上面，手動配置 IP 地址。在這種環(huán)境下，我們可以通過 DCBI 下發(fā) ACL 到 DCN 接入交換機進行端口、 IP、 MAC 的綁定。這樣每個端口只能發(fā)出含正確源 MAC 地址和源 IP 地址的 ARP 報文。 如下圖所示，交換機將不轉(zhuǎn)發(fā)非法用戶的數(shù)據(jù)包，并把它丟棄或者直接 shutdown下聯(lián)的交換機端口，讓攻擊源無可乘之機。 廣東教育學院學生宿舍網(wǎng)絡方案 第 17 頁，共 54 頁 具體實現(xiàn)方式是：在交換機端口上開啟 功能；同時配置 DCBI 認證系統(tǒng)。 舉例說明使用過程： 計算機連接到交換機的端口 1/2上，端口 1/2開啟 ，接入方式采用缺省的基于 MAC地址認證方式。交換機的 IP地址設置為 ，并將除端口 1/2以外的任意一個端口與 RADIUS認證服務器相連接， RADIUS認證服務器的 IP地址設置為 ，認證、計費端口為缺省端口 1812和端口 1813。計算機上安裝 ，并通過使用此軟件來實現(xiàn) 。 配置 DCBI 基于神州數(shù)碼 DCBI3000/DCSM8000 的內(nèi)網(wǎng)安全管理系統(tǒng)，不但可以實現(xiàn)上面的綁定準入控制，而且實現(xiàn)了基于每個數(shù)據(jù)包轉(zhuǎn)發(fā)時的交換芯片的 IP、 MAC 綁定過濾規(guī)則，從而完成杜絕了 ARP 欺騙及 ARP掃描等內(nèi)網(wǎng)安全方面的威脅。具體實現(xiàn)的功能過程如下圖所示： 網(wǎng)關 主機 D 主機 C 主機 B 主機 A …… …… MAC C MAC B MAC A 對 交換機下聯(lián)的端系統(tǒng)IP、 MAC進行綁定 廣東教育學院學生宿舍網(wǎng)絡方案 第 18 頁，共 54 頁 如圖上圖所示，基于每個包都進行綁定判 斷過濾的安全準入： 1） 用戶在上網(wǎng)認證時，將自已的用戶帳號、密碼、 IP 地址、 MAC 地址上傳給 安全接入交換機。 2） 安全接入交換機將上面的信息通過另一種形式上傳給安全策略服務器DCBI3000。 3） 在 DCBI3000 上判斷該用戶的 IP、 MAC 等信息是否附合綁定的要求。如是上面的信息附合綁定的要求，將 Radius Server 下發(fā)該用戶認證通過的信息給 安全接入交換機。與上面的傳統(tǒng)方式不同的是： DCBI3000 針對動態(tài) DHCP 管理方式和靜態(tài) IP 方式按著兩種方式進行處理。 i. 如果用戶網(wǎng) 絡采用是靜態(tài) IP 地址管理方式，則 DCBI3000 會把事先配置好的該用戶 IP、 MAC 綁定信息下發(fā)到 交換機中。（如下圖所示：通過 DCBI3000 實現(xiàn)靜態(tài)的IP、 MAC 過濾規(guī)則） 廣東教育學院學生宿舍網(wǎng)絡方案 第 19 頁，共