【導(dǎo)讀】息資源的安全備受關(guān)注。企業(yè)網(wǎng)網(wǎng)絡(luò)中的主機(jī)可能會受到非法入。通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和組網(wǎng)技術(shù)對企業(yè)網(wǎng)網(wǎng)絡(luò)進(jìn)行搭。述問題的有效措施。絡(luò)應(yīng)用的要求，使企業(yè)的管理達(dá)提升到一個新的臺階。

　　

【正文】 RP： C： \arp s TCP/IP 洪水攻擊防御 TCP/IP 協(xié)議是網(wǎng)絡(luò)中使用的基本通信協(xié)議。雖然從名字上看它包括兩個協(xié)議： TCP 協(xié)議和 IP 協(xié)議，但確切的說， TCP/IP 實(shí)際上是一組協(xié)議，除了最常用的 TCP 和 IP 協(xié)議外，還包含許多其他的工具性協(xié)議、管理協(xié)議及應(yīng)用協(xié)議。 TCP/IP 協(xié)議共分為４層，即應(yīng)用層、傳輸層、互連網(wǎng)絡(luò)層、網(wǎng)絡(luò)接入層。其中，應(yīng)用層向用戶提供訪問 Inter 的一些高層協(xié)議，使用最廣泛的有 TELNET、 FTP、 SMTP、 DNS 等。傳輸層提供應(yīng)用程序端到端的通信服務(wù)，該層有兩個協(xié)議： TCP 和 UDP 互連網(wǎng)絡(luò)層負(fù)責(zé)相鄰主機(jī)之間的通信，該層協(xié)議主要有 IP 和 ICMP 等。網(wǎng)絡(luò)接口層是 TCP/IP 協(xié)議軟件的最低一層，主要負(fù)責(zé)數(shù)據(jù)幀的發(fā)送和接收。 （ 1） TCP 協(xié)議的防御： 對于 TCP協(xié)議來說，最容易受攻擊的地方在于一個用戶向服務(wù)器發(fā)送了 SYN報文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報文后是無法收到客戶端的 ACK 報文的（即第三次握手無法完成）。一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待１分鐘并不是什么大問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源。服務(wù)器端將忙于處理攻擊者偽造的 TCP 連接請求而無暇理睬客戶的正常請求，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作服務(wù)器端受到了 SYN Flood 攻擊。 我們可以在路由器的接口模式下寫入命令來防止： R1(config)ip verify unicast reversepath 還有一種方法就是你用 TCP 截取防御技術(shù)來實(shí)現(xiàn)： R1(config)ip tcp intercept mode intercept (截取方式 ) R1(config)ip tcp intercept mode watch （監(jiān)聽方式） 定義 HTTP 流量： R1(config)accesslist 101 permit tcp any any eq 80 R1(config)ip tcp intercept list 101 （ 2） IP 協(xié)議的防御： 基于 IP 欺騙的防范方法有： ①拋棄基于地址的信任策略。這是最簡單的方法。 ②進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入 Inter 的，那么可以利用路由器來進(jìn)行包過濾。確認(rèn)只有內(nèi)部 LAN 可以使用信任關(guān)系，而內(nèi)部 LAN 上的主機(jī)對于 LAN 以外的主機(jī)要慎重處理。路由器可以過濾掉所有來自于外部而希望與內(nèi)部建立連接的請求。 ③使用加密技術(shù)。阻止 IP 欺騙的一種簡單的方法是在通信時要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時，加密方法可能最為適用 ICMP 協(xié)議的防御 ICMP 即 Inter 控制消息協(xié)議。用于在 IP 主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。 Ping 就是最常用的基于 ICMP 的服務(wù)。 ICMP 協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)。比如，可以利用操作系統(tǒng)規(guī)定的ICMP 數(shù)據(jù)包最大尺寸不超過 64KB 這一規(guī)定，向主機(jī)發(fā)起“ Ping Of Death”（死亡之 Ping）攻擊?！?Ping Of Death”攻擊的原理是：如果 ICMP 數(shù)據(jù)包的尺寸超過６４ＫＢ上限時，主機(jī)就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致 TCP/IP 堆棧崩潰，致使主機(jī)死機(jī)。此外，向目標(biāo)主機(jī)長時間、連續(xù)、大量地發(fā)送 ICMP 數(shù)據(jù)包，使得目標(biāo)主機(jī)耗費(fèi)大量的 CPU 資源處理，也會最終使系統(tǒng)癱瘓。 對于“ Ping Of Death”攻擊，可以采取兩種方法進(jìn)行防范： （１）路由器上對 ICMP 數(shù)據(jù)包進(jìn)行帶寬限制，將 ICMP 占用的帶寬控制在一定的范圍內(nèi)。命令是： R1(config)accesslist 101 permit icmp any any R1(config)interface f0/2 R1(configif)ratelimit input accessgroup 101 32020 1500 2020 conformaction transmit exceedaction drop （２）在主機(jī)上設(shè)置 ICMP 數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的 ICMP 數(shù)據(jù)包。 DHCP 服務(wù)器的防御 為了減小網(wǎng)絡(luò)編址的復(fù)雜性和手工配置 IP 地址的工作量，使用了 DHCP 為網(wǎng)絡(luò)中的設(shè)備分配 IP 地址。但網(wǎng)絡(luò)管理員發(fā)現(xiàn)最近經(jīng)常有員工抱怨無法訪問網(wǎng)絡(luò)資源，經(jīng)過故障排查后，發(fā)現(xiàn)客戶端 PC 通過DHCP 獲得了錯誤的 IP 地址，從此現(xiàn)象可以判斷出網(wǎng)絡(luò)中可能出現(xiàn)了 DHCP 攻擊，即可能有人私自架設(shè)了DHCP 服務(wù)器（偽 DHCP 服務(wù)器）導(dǎo)致客戶端 PC 不能獲得正確的 IP 地址信息，以至不能夠訪問網(wǎng)絡(luò)資源。 我們根據(jù)上述判斷，對所有的交換機(jī)寫入以下命令來阻止攻擊： Hexin1(config)ip dhcp snooping Hexin1 (config)interface fastEther 0/1 Hexin1 (configif)ip dhcp snooping trust Hexin1 (configif)exit Hexin1 (config)interface fastEther 0/2 Hexin1 (configif)ip dhcp snooping trust Bangongqu1 (config)ip dhcp snooping Bangongqu1 (config)interface fastEther 0/1 Bangongqu1 (configif)ip dhcp snooping trust Bangongqu1 (configif)exit Bangongqu1 (config)interface fastEther 0/2 Bangongqu1 (configif)ip dhcp snooping trust DNS 的防御 作為當(dāng)前全球最大最復(fù)雜的分布式層次數(shù)據(jù)庫系統(tǒng)，由于其開放、龐大、復(fù)雜的特性以及設(shè)計(jì)之初對于安全性的考慮不足，再加上人為攻擊和破壞， DNS 系統(tǒng)面臨非 常嚴(yán)重的安全威脅，因此如何解決 DNS安全問題并尋求相關(guān)解決方案是當(dāng)今 DNS 亟待解決的問題。 DNS 安全防護(hù)主要面臨如下威脅： （ 1）對 DNS 的 DDoS 攻擊。 （ 2） DNS 欺騙： 針對以上的兩種攻擊我們采用不同的方法來實(shí)現(xiàn)防御 : 1）對 DNS 的 DDoS 攻擊的防御： 目前業(yè)界主流的針對 DNS 的 DDoS 攻擊識別，通常采用判斷 DNS 請求流量閾值的方法來判斷發(fā)生攻擊，這種判斷方法有以下局限： ①熱點(diǎn)事件產(chǎn)生的正常 DNS 請求流量超限的情況，容易產(chǎn)生誤報。 ②針對通過非法域名以小博大的攻擊方法，由于其流量未超限會產(chǎn)生漏報。 迪普科技采用智能的 DNS DDoS 攻擊識別技術(shù)，通過實(shí)時分析 DNS 解析失敗率、 DNS 響應(yīng)報文與請求報文的比例關(guān)系等方法，準(zhǔn)確識別各種針對 DNS 的 DDoS 攻擊，避免產(chǎn)生漏報和誤報，并且通過專業(yè)的線性 DNS 攻擊防御技術(shù)和離散 DNS 攻擊防御技術(shù)有效的防御了 DNS DDoS 攻擊。 同時，迪普科技還通過流量異常檢測、 SYN Cookie、 SYN Proxy、連接限制、連接速率限制等技術(shù)實(shí)現(xiàn)了全面的 TCP Flood、 UDP Flood、 SYN Flood、 ICMP Flood、 HTTP Get、 CC 等 DDoS 攻擊防 御，全面確保了 DNS 服務(wù)器不會受到 DDoS 攻擊 2） DNS 欺騙的防御： 我們可以使用 AntiARPDNS 來防御，它包括了對 ARP 和 DNS 欺騙攻擊的實(shí)時監(jiān)控和防御，收到攻擊時會迅速記錄，追蹤攻擊者并且控制攻擊的程度至最低，能有效地防止局域網(wǎng)內(nèi)的非法 ARP 或 DNS 欺騙攻擊。 FTP 的防御 FTP（ File Transfer Protocol, FTP）是 TCP/IP 網(wǎng)絡(luò)上兩臺計(jì)算機(jī)傳送文件的協(xié)議 FTP 是在 TCP/IP網(wǎng)絡(luò)和 INTERNET 上最早使用的協(xié)議之一，它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。 FTP 客戶機(jī)可以給服務(wù)器發(fā)出命令來下載文件、上載文件、創(chuàng)建或改變服務(wù)器上的目錄。 正是由于 FTP 的功能加上 FTP 驗(yàn)證機(jī)制的脆弱使 FTP 更容易受到攻擊，所以我們可以通過在路由器上對協(xié)議加密來防范可能出現(xiàn)的攻擊： R1(config)router ospf 1 R1(config)area 0 authentication messagedigest R1(config)interface f0/2 R1(configif)ip add R1(configif)ip ospf authentication messagedigest R1(configif)ip ospf messagedigestkey 1 md5 1014 RIP 協(xié)議的防御 RIP 是路由信息協(xié)議（ Routing Information Protocol）的縮寫，采用距離矢量算法。在默認(rèn)情況下， RIP 使用一種非常簡單的度量制度：距離就是通往目的站點(diǎn)所需經(jīng)過的鏈路數(shù)，取值為 1~15，數(shù)值16 表示無窮大。 RIP 進(jìn)程使用 UDP 的 520 端口來發(fā)送和接收 RIP 分組。 RIP 分組每隔 30s 以廣播的形式發(fā)送一次，為了防止出現(xiàn)“廣播風(fēng)暴”，其后續(xù)的的分組將做隨機(jī)延時后發(fā)送。在 RIP 中，如果一個路由在 180s 內(nèi)未被刷，則相應(yīng)的距離就被設(shè)定成無窮大，并從路由表中刪除該表項(xiàng)。 當(dāng)兩個路由之間多出來了一個“流氓路由”之后，此時黑客很可能利用“流氓路由”對其進(jìn)行入侵，這種方法不容易被發(fā)現(xiàn)而且成功率很高。鑒于此，我們一樣可以用 md5 進(jìn)行加密來保護(hù)： R1(config)key chain 111 R1(configkeychain)key 1 R1(configkeychain)keystring 11 R1(config)interface f0/2 R1(configif)ip rip authentication keychain 111 R1(configif)ip rip authentication mode md5 7 設(shè)備的維護(hù) 當(dāng)今許多重要的信息存儲在網(wǎng)絡(luò)上，這些信息泄露出去將造成無法估量的損失。之所以網(wǎng)絡(luò)信息會泄露出去，一方面有許多入侵者千方百計(jì)想“看”到一些關(guān)心的 數(shù)據(jù)或者信息；另一方面網(wǎng)絡(luò)自身存在安全隱患才使得入侵者得逞。伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，人們在提供了極大的方便，然而，信 息化在給人們帶來種種物質(zhì)和文化享受的同時，我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，網(wǎng)絡(luò)安全是任何計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)必須解決的重要問題，企業(yè)網(wǎng)建設(shè)應(yīng)把網(wǎng)絡(luò)管理與安全放在突出地位。 日常安全與維護(hù) 網(wǎng)絡(luò)監(jiān)控 企業(yè)配置網(wǎng)絡(luò)管理軟件，可以對整個網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中式的配置、監(jiān)視和控制，自動檢測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，監(jiān)視和控制網(wǎng)段和端口，以及進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計(jì)和錯誤統(tǒng)計(jì)，網(wǎng)絡(luò)設(shè)備事件的自動收集和管理等一系列綜合的管理和監(jiān)測。這對解決網(wǎng)絡(luò)故障幫助非常大，特別是某些突發(fā)性的故障。 數(shù)據(jù)備份 對交換機(jī)、防火墻等重要的網(wǎng)絡(luò)設(shè)備的配置要進(jìn)行備份，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時能夠及時恢復(fù)對網(wǎng)絡(luò)設(shè)備的配置。 用戶權(quán)限的管理 中心管理員控制著全網(wǎng)用戶的配置和權(quán)限的修改，因此對于權(quán)限的管理要嚴(yán)格進(jìn)行，以保證網(wǎng)絡(luò)權(quán)限分配的安全合理。 8 總結(jié) 本畢業(yè)設(shè)計(jì)從企業(yè)網(wǎng)的建設(shè)思想、目標(biāo)、可以選用的網(wǎng)絡(luò)技術(shù)以及對絡(luò)設(shè)備的介紹和選擇等多方面的論述，使我們對企業(yè)網(wǎng)建設(shè)工程有了一個比較深入的了解，企業(yè)網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，既有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)、綜合布線技術(shù)，也有管理制度等各個方面的知識。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進(jìn)的過程中必將有更多的知識需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建 設(shè)之中。 由于企業(yè)網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在論述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點(diǎn)和更正 參考文獻(xiàn) [1] 諶璽 、 張洋 ，企業(yè)網(wǎng)絡(luò)整體安全 ——攻防技術(shù)內(nèi)幕大剖析，北京：電子工業(yè)出版社， [2] 陸魁軍 ，計(jì)算機(jī)網(wǎng)絡(luò)工程實(shí)踐教程 基于華為路由器和交換機(jī)，北京：清華大學(xué)出版社， [3] 姚華婷，網(wǎng)絡(luò)服務(wù)器配置與管理 ——Windows Server 2020 篇，北京：人民郵電出版社， [4] 馬立新 ，局域網(wǎng)組建、管理與維護(hù)，北京：機(jī)械工業(yè)出版社， [5] 劉曉輝，中小型局域網(wǎng)構(gòu)建實(shí)踐，北京：電子工業(yè)出版社， [6] 百度文庫， DNS 安全防護(hù)解決方案， 20200712