【導(dǎo)讀】湖北大學(xué)學(xué)生宿舍。校園寬帶網(wǎng)絡(luò)建設(shè)方案

　　

【正文】 命令：詳見 基于神州數(shù)碼 DCBI3000/DCSM8000的內(nèi)網(wǎng)安全管理系統(tǒng)，不但可以實現(xiàn)上面的綁定準入控制，而且實現(xiàn)了基于每個數(shù)據(jù)包轉(zhuǎn)發(fā)時的交換芯片的 IP、 MAC綁定過濾規(guī)則，從而完成杜絕了上面提到的MAC欺騙的威脅。具體實現(xiàn)的功能過程如下圖所示： 1） 用戶在上網(wǎng)認證時，將自已的用戶帳號、密碼、 IP 地址、 MAC 地址上傳給 安全接入交換機。 2） 安全接入交換機將上面的信息通過另一種形式上傳給安全策略服務(wù)器DCBI3000。 在 DCBI3000 上判斷該用戶的 IP、 MAC 等信息是否附合綁定的要求。如是上面的信息附合綁定的要求，將 Radius Server 下發(fā)該用戶認證通過的信息給 安全接入交換機。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 29 頁，共 54 頁 IP 常見威脅及 DCN 解決方案 IP 相關(guān)威脅 IP 地址沖突 在局域網(wǎng)內(nèi)的每臺主機必須具有獨立的 IP 地址才能與網(wǎng)絡(luò)上的其它主機進行通訊。然而如果 管理方法不當， IP 地址沖突的麻煩將不可避免。在客戶機上將頻繁出現(xiàn)地址沖突的提示，合法的網(wǎng)絡(luò)用戶將不能正常工作。造成 IP 地址沖突的主要原因是由于失誤錯配參數(shù)或有意盜用他人的 IP 地址。 IP 地址掃描 利用一些掃描軟件，可以實現(xiàn)對局域網(wǎng)進行 IP 地址掃描，從而獲得局域網(wǎng)中一些主機和網(wǎng)絡(luò)設(shè)備的IP 地址。 DCN防 IP威脅解決方案 防范思路： IP 地址沖突的問題，可以采用以下三種預(yù)防措施： 1） 使用動態(tài) IP 地址分配 (DHCP)； 2）將分配給用戶的靜態(tài) IP 地址與交換機的端口綁定； 3）將用戶的 IP 地址和計算機的 MAC 地址進行綁定。 IP 地址掃描 可以啟用 DCN 交換機的 IPSnooping 的功能， 即監(jiān)控同一個 src ip 發(fā)送的數(shù)據(jù)報，如果 dst ip 是一段連續(xù)變化的地址，可能存在掃描行為，可以選擇關(guān)閉端口或者設(shè)置 blackhole mac 或者發(fā)送 trap。 交換機端口與 IP 地址綁定 用戶有如下配置需求：交換機的 1 端口連接 ，管理員希望用戶 IP 為 的 IP 地址才允許上網(wǎng)。 配置更改： 1） 使能 AM 功能； 2） 配置 IP 地址池 ； IP－ MAC地址綁定 如 ：在交換機接口 4 上將源 IP 為 和 源 MAC 是 000110223310 綁定。 啟用交換機的 DCN 交換機的 IPSnooping 的功能防御 IP 掃描 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 30 頁，共 54 頁 病毒、系統(tǒng)漏洞威脅及神州數(shù)碼解決方案 病毒、系統(tǒng)漏洞相關(guān)威脅 病毒威脅 目前，互聯(lián)網(wǎng)已經(jīng)成為病毒傳播最大的來源，電子郵件和網(wǎng)絡(luò)信息傳遞為病毒傳播打開了高速的通道。企業(yè)網(wǎng)絡(luò)化的發(fā)展也有助于病毒的傳播速度大大提高，感染的范圍也越來越廣?？梢哉f，網(wǎng)絡(luò)化帶來了病毒傳染的高效率，具體體 現(xiàn)在： ? 感染速度快。在單機環(huán)境下，病毒只能通過軟盤從一臺計算機帶到另一臺，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通訊機制進行迅速擴散。 ? 擴散面廣。由于病毒在網(wǎng)絡(luò)中擴散非?？?，擴散范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有計算機，還能在瞬間通過遠程工作站將病毒傳播到千里之外。 ? 傳播的形式復(fù)雜多樣。計算機病毒在網(wǎng)絡(luò)上一般是通過“工作站 服務(wù)器 工作站”的途徑進行傳播的，但傳播的形式復(fù)雜多樣。 ? 難于徹底清除。單機上的計算機病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除。而企業(yè)網(wǎng)絡(luò)中，只要有一臺工作站未能消毒干凈 ，就可能使整個網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。 ? 破壞性大。網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，使多年工作毀于一旦。 系統(tǒng)漏洞威脅 能夠被攻擊者所利用的漏洞不僅包括系統(tǒng)軟件設(shè)計上的安全漏洞，也包括由于管理配置不當而造成的漏洞。當然大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞，這些漏洞中比較出名的有 Windows共享目錄密碼校驗漏洞、 IE 異常處理 Mime 頭漏洞、 Unicode 漏洞等等。另外現(xiàn) 在一些功能比較復(fù)雜的程序，多是采用模塊化的設(shè)計思路，將整個程序分割成多個功能模塊進行設(shè)計、調(diào)試，為了方便測試和更改模塊，設(shè)計人員可能會設(shè)計一個秘密的入口，如果這些入口在設(shè)計完成時沒有被及時清除的話，同樣也會被一些黑客作為后門所利用。 對于這些系統(tǒng)漏洞，黑客和病毒可以通過它們直接入侵端系統(tǒng)，導(dǎo)致端系統(tǒng)不能正常使用，例如拒絕服務(wù)等等。 DCN解決方案 對于病毒、系統(tǒng)漏洞威脅，最有效的辦法是，及時升級端系統(tǒng)的防病毒軟件和它的病毒庫版本，下載最新的操作系統(tǒng)補丁。只有從端系統(tǒng)著手，才可能有效的遏制病毒和黑 客攻擊。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 31 頁，共 54 頁 基于 DCBI3000/DCSM8000 的 IP、 MAC 地址的管理策略，是從網(wǎng)絡(luò)方面針對內(nèi)網(wǎng)安全進行控制的。 在采用 DCBI3000/DCSM8000 的內(nèi)網(wǎng)安全方案后，在用戶主機未通過身份準入規(guī)則進入網(wǎng)絡(luò)之前，即使該用戶主機已經(jīng)通過有線或無線在物理上連入進網(wǎng)絡(luò)，但仍然是不能訪問網(wǎng)絡(luò)的，并且該用戶的所有數(shù)據(jù)包都不能發(fā)送到網(wǎng)絡(luò)上。在這種情況下，即使該用戶主機上存在大量的可以傳染的網(wǎng)絡(luò)病毒，也是不能在內(nèi)部網(wǎng)絡(luò)上傳播的。 然而僅僅基于用戶 IP、 MAC 地址的管理還不能完全實現(xiàn)內(nèi)網(wǎng)的安全。有些內(nèi)網(wǎng)方面 的不安全因素，例如：導(dǎo)致了用戶終端的數(shù)據(jù)丟失、操作系統(tǒng)不穩(wěn)定、傳播病毒、操作系統(tǒng)存在漏洞等問題，可以不通過 IP、 MAC 偽造仍然能實現(xiàn)網(wǎng)絡(luò)攻擊、病毒癮傳播、信息竊取等問題。 解決這樣的問題，就需要更專業(yè)的終端安全廠家的協(xié)助來完成網(wǎng)絡(luò)終端本身的安全。而防病毒軟件就是這方面最有效的工具。 通過 DCBI3000/DCSM8000 還可以實現(xiàn)與防病毒軟件的聯(lián)動，實現(xiàn)多方安全產(chǎn)品統(tǒng)一管理，全方面實現(xiàn)用戶的內(nèi)網(wǎng)和終端的安全。 我們知道一旦有病毒或嚴重系統(tǒng)漏洞的主機進入到網(wǎng)絡(luò)中，就會向外傳播病毒或被網(wǎng)絡(luò)上的病毒所傳染。所 以我們要在主機終端進入網(wǎng)絡(luò)之前就對其進行染病情況的判斷和操作系統(tǒng)漏洞方面的判斷。如果該主機終端存在問題，則不允許其進入安全的網(wǎng)絡(luò)，而是要將其隔離到一個用于主機終端殺毒、系統(tǒng)修復(fù)的專用網(wǎng)絡(luò)中進行安全補救。等在主機終端上把所有安全隱患消除后，才允許其進入安全網(wǎng)絡(luò)。 DCBI3000/DCSM8000 是通過與防病毒軟件聯(lián)動，實現(xiàn)上面的功能。下面以與瑞星聯(lián)動為例進行說明。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 32 頁，共 54 頁 首先，要在 DCBI3000/DCSM8000 上配置與防病毒軟件聯(lián)動的安全策略，如下圖所示： 圖 21： DCBI3000/DCSM8000 與防病毒軟件聯(lián)動的安全策略配置 然后，在神州數(shù)碼的 安全接入交換機上，配置 free Resource 功能，用于在主機終端被發(fā)現(xiàn)有安全漏洞后，進入 free Resource 網(wǎng)絡(luò)進行防病毒軟件的升級、打補丁等操作。 最后，主機終端需要安裝神州數(shù)碼安全 client 和瑞星防病毒軟件，并使用神州數(shù)碼安全 client 進入網(wǎng)絡(luò)。 在上面的部署成功后， DCBI3000/DCSM8000 與防病毒軟件就可以聯(lián)動了，大致過程如下： 1） 用戶在使用神州數(shù)碼安全 client 進行認證上網(wǎng)前，神州數(shù)碼安全 client 要 判斷主機終端上是否啟用了防病毒軟件，并通過與防病毒軟件聯(lián)動獲取防病毒軟件的版本號、病毒庫未升級的時長、主機操作系統(tǒng)存在的漏洞級別這四項數(shù)據(jù)，然后通過認證數(shù)據(jù)包上傳給DCBI3000/DCSM8000。注意在上傳這些數(shù)據(jù)時，該用戶仍然是被隔離在網(wǎng)絡(luò)之外的，所以不存在病毒傳染的問題。 2） 在這些信息上傳到 DCBI3000/DCSM8000，由 DCBI3000/DCSM8000 決斷是否附合目前的最低安全規(guī)則。 3） 如果該主機終端附合目前的最低安全規(guī)則，則允許該主機進入安全網(wǎng)絡(luò)。 如果該主機終端不附合目前的最低 安全規(guī)則， DCBI3000/DCSM8000 將拒絕該主機進入安全的網(wǎng)絡(luò)，并提示該主機需要進入 free Resource 網(wǎng)絡(luò)進行操作系統(tǒng)的修補等工作。 ClonePC 盜用威脅以及 DCN 解決方案 ClonePC 威脅 校園網(wǎng)運營一般采用 認證方式，一旦用戶的的 mac 地址通過了 認證，則交換機會 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 33 頁，共 54 頁 認為該 MAC 地址為合法的 MAC 地址，只要源 MAC 地址為合法的數(shù)據(jù)包可正常轉(zhuǎn)發(fā)。 學(xué)生宿舍一般會通過 hub 對端口進行擴展，因此存在 clonePC（克隆 PC）的隱患：即某用戶 X 的 mac地址 MAC X 通過了 認證，則在該 hub 下的另外一名用戶 Y 把 MAC 地址改為 MAC X，同時把 IP地址改為和用戶 X 一致，即： IP 和 MAC 完全和用戶一致，則用戶 Y 不必認證即可上網(wǎng)。 目前大多數(shù)高校的 運營網(wǎng)絡(luò)存在 clonePC 盜用的運營漏洞和隱患。 DCN防 ClonePC盜用解決方案 神州數(shù)碼（ DCN） ClonePC的完整解決方案。 防止 clonePC主要采用 arp欺騙技術(shù)，具體方法如下： 客戶端試圖發(fā)送一個 arp Request報文，報文格式如下 ： 其中 (只對主要字段進行說明 )： ?? 以太網(wǎng)目的地址 :0Xffffffffffff ?? 以太網(wǎng)源地址 ： 0x010beb5b26ac（組播 mac） ?? 發(fā)送方以太網(wǎng)地址： 0x010beb5b26ac ?? 發(fā)送方 ip地址： ?? 目的以太網(wǎng)地址： 0 ?? 目的 ip地址：該網(wǎng)卡對應(yīng)的 ip地址 在這個報文中 ?? 發(fā)送方以太網(wǎng)地址必須填充為組播 mac，這里選用的是 0x010beb5b26ac，希望沒有重復(fù)的 mac出現(xiàn)，如果選用單播 mac只有本機會對這個 arp Request報 文做出相應(yīng)，而無法探測出 clone pc。 ?? 發(fā)送方 ip地址填 ，希望這個地址沒有被人使用，如果被人使用，那也無法探測出該 PC是否是 clone pc ?? 由于這個報文是偽造的，會對 arp表造成一點混亂。（這里指的是發(fā)送方 ip地址填的是 ） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 34 頁，共 54 頁 mac為組播 mac 0x010beb5b26ac防止了用戶的 ip為 ，但是如果用戶的 ip為 clonePC 對于其他一些報文格式的填充將不能滿足每個 clonePC都回一個 Arp回應(yīng)報文。例如： 以太網(wǎng)目的地址： 0Xffffffffffff 以太網(wǎng)源地址 ：本機 mac地址 發(fā)送方以太網(wǎng)地址：本機 mac地址 發(fā)送方 ip地址 0 目的以太網(wǎng)地址： 0 目的 ip地址：該網(wǎng)卡對應(yīng)的 ip地址 當同一 hub下的用戶收到該 arp請求后，如果本機的 ip和上述 request報文的目的 ip地址相同，那么就會以組播 mac 0x010beb5b26ac作為 以太網(wǎng)的目的 mac發(fā)送 arp Response報文，并根據(jù) arp 協(xié)議填充相應(yīng)的字段。 注意：當發(fā)送上述 arp Repuest報文后，本機也回應(yīng)一個 arp Response報文。 根據(jù)以上的分析，如果 hub 下出現(xiàn) clone PC 那么該 clone pc 就會對這個偽造的 arp Request 報文做出相應(yīng)，因此只需要簡單的統(tǒng)計 arp Response 報文的個數(shù)就可以檢測出 clone pc 的出現(xiàn)，如果 arp Response報文的個數(shù)大于或者等于 2，那么就存在 clone PC 通過客戶端，神州數(shù)碼可以有效的防范 ClonePC 盜用威脅。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 35 頁，共 54 頁 第六章 相關(guān)產(chǎn)品技術(shù)資料 匯聚交換機（高配）： DCRS6800 技術(shù)資料 產(chǎn)品概述 DCRS6800 系列路由交換機為企業(yè)和電信網(wǎng)絡(luò)提供了優(yōu)秀的安全性、可靠性、業(yè)務(wù)多樣性和擴展能力。 DCRS6800 系列可作為中小型校園網(wǎng)、企業(yè)網(wǎng)的核心層設(shè)備或作為大型校園網(wǎng)、 IP 城域網(wǎng)的匯聚層設(shè)備，它們不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡(luò)的復(fù)雜性，而且提供了很好的投資保護。 DCRS6800