【導(dǎo)讀】湖北大學(xué)學(xué)生宿舍。校園寬帶網(wǎng)絡(luò)建設(shè)方案

　　

【正文】 命令：詳見(jiàn) 基于神州數(shù)碼 DCBI3000/DCSM8000的內(nèi)網(wǎng)安全管理系統(tǒng)，不但可以實(shí)現(xiàn)上面的綁定準(zhǔn)入控制，而且實(shí)現(xiàn)了基于每個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)的交換芯片的 IP、 MAC綁定過(guò)濾規(guī)則，從而完成杜絕了上面提到的MAC欺騙的威脅。具體實(shí)現(xiàn)的功能過(guò)程如下圖所示： 1） 用戶在上網(wǎng)認(rèn)證時(shí)，將自已的用戶帳號(hào)、密碼、 IP 地址、 MAC 地址上傳給 安全接入交換機(jī)。 2） 安全接入交換機(jī)將上面的信息通過(guò)另一種形式上傳給安全策略服務(wù)器DCBI3000。 在 DCBI3000 上判斷該用戶的 IP、 MAC 等信息是否附合綁定的要求。如是上面的信息附合綁定的要求，將 Radius Server 下發(fā)該用戶認(rèn)證通過(guò)的信息給 安全接入交換機(jī)。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 29 頁(yè)，共 54 頁(yè) IP 常見(jiàn)威脅及 DCN 解決方案 IP 相關(guān)威脅 IP 地址沖突 在局域網(wǎng)內(nèi)的每臺(tái)主機(jī)必須具有獨(dú)立的 IP 地址才能與網(wǎng)絡(luò)上的其它主機(jī)進(jìn)行通訊。然而如果 管理方法不當(dāng)， IP 地址沖突的麻煩將不可避免。在客戶機(jī)上將頻繁出現(xiàn)地址沖突的提示，合法的網(wǎng)絡(luò)用戶將不能正常工作。造成 IP 地址沖突的主要原因是由于失誤錯(cuò)配參數(shù)或有意盜用他人的 IP 地址。 IP 地址掃描 利用一些掃描軟件，可以實(shí)現(xiàn)對(duì)局域網(wǎng)進(jìn)行 IP 地址掃描，從而獲得局域網(wǎng)中一些主機(jī)和網(wǎng)絡(luò)設(shè)備的IP 地址。 DCN防 IP威脅解決方案 防范思路： IP 地址沖突的問(wèn)題，可以采用以下三種預(yù)防措施： 1） 使用動(dòng)態(tài) IP 地址分配 (DHCP)； 2）將分配給用戶的靜態(tài) IP 地址與交換機(jī)的端口綁定； 3）將用戶的 IP 地址和計(jì)算機(jī)的 MAC 地址進(jìn)行綁定。 IP 地址掃描 可以啟用 DCN 交換機(jī)的 IPSnooping 的功能， 即監(jiān)控同一個(gè) src ip 發(fā)送的數(shù)據(jù)報(bào)，如果 dst ip 是一段連續(xù)變化的地址，可能存在掃描行為，可以選擇關(guān)閉端口或者設(shè)置 blackhole mac 或者發(fā)送 trap。 交換機(jī)端口與 IP 地址綁定 用戶有如下配置需求：交換機(jī)的 1 端口連接 ，管理員希望用戶 IP 為 的 IP 地址才允許上網(wǎng)。 配置更改： 1） 使能 AM 功能； 2） 配置 IP 地址池 ； IP－ MAC地址綁定 如 ：在交換機(jī)接口 4 上將源 IP 為 和 源 MAC 是 000110223310 綁定。 啟用交換機(jī)的 DCN 交換機(jī)的 IPSnooping 的功能防御 IP 掃描 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 30 頁(yè)，共 54 頁(yè) 病毒、系統(tǒng)漏洞威脅及神州數(shù)碼解決方案 病毒、系統(tǒng)漏洞相關(guān)威脅 病毒威脅 目前，互聯(lián)網(wǎng)已經(jīng)成為病毒傳播最大的來(lái)源，電子郵件和網(wǎng)絡(luò)信息傳遞為病毒傳播打開(kāi)了高速的通道。企業(yè)網(wǎng)絡(luò)化的發(fā)展也有助于病毒的傳播速度大大提高，感染的范圍也越來(lái)越廣?？梢哉f(shuō)，網(wǎng)絡(luò)化帶來(lái)了病毒傳染的高效率，具體體 現(xiàn)在： ? 感染速度快。在單機(jī)環(huán)境下，病毒只能通過(guò)軟盤從一臺(tái)計(jì)算機(jī)帶到另一臺(tái)，而在網(wǎng)絡(luò)中則可以通過(guò)網(wǎng)絡(luò)通訊機(jī)制進(jìn)行迅速擴(kuò)散。 ? 擴(kuò)散面廣。由于病毒在網(wǎng)絡(luò)中擴(kuò)散非?？?，擴(kuò)散范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能在瞬間通過(guò)遠(yuǎn)程工作站將病毒傳播到千里之外。 ? 傳播的形式復(fù)雜多樣。計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過(guò)“工作站 服務(wù)器 工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。 ? 難于徹底清除。單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過(guò)刪除帶毒文件、低級(jí)格式化硬盤等措施將病毒徹底清除。而企業(yè)網(wǎng)絡(luò)中，只要有一臺(tái)工作站未能消毒干凈 ，就可能使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺(tái)工作站就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。 ? 破壞性大。網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，使多年工作毀于一旦。 系統(tǒng)漏洞威脅 能夠被攻擊者所利用的漏洞不僅包括系統(tǒng)軟件設(shè)計(jì)上的安全漏洞，也包括由于管理配置不當(dāng)而造成的漏洞。當(dāng)然大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞，這些漏洞中比較出名的有 Windows共享目錄密碼校驗(yàn)漏洞、 IE 異常處理 Mime 頭漏洞、 Unicode 漏洞等等。另外現(xiàn) 在一些功能比較復(fù)雜的程序，多是采用模塊化的設(shè)計(jì)思路，將整個(gè)程序分割成多個(gè)功能模塊進(jìn)行設(shè)計(jì)、調(diào)試，為了方便測(cè)試和更改模塊，設(shè)計(jì)人員可能會(huì)設(shè)計(jì)一個(gè)秘密的入口，如果這些入口在設(shè)計(jì)完成時(shí)沒(méi)有被及時(shí)清除的話，同樣也會(huì)被一些黑客作為后門所利用。 對(duì)于這些系統(tǒng)漏洞，黑客和病毒可以通過(guò)它們直接入侵端系統(tǒng)，導(dǎo)致端系統(tǒng)不能正常使用，例如拒絕服務(wù)等等。 DCN解決方案 對(duì)于病毒、系統(tǒng)漏洞威脅，最有效的辦法是，及時(shí)升級(jí)端系統(tǒng)的防病毒軟件和它的病毒庫(kù)版本，下載最新的操作系統(tǒng)補(bǔ)丁。只有從端系統(tǒng)著手，才可能有效的遏制病毒和黑 客攻擊。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 31 頁(yè)，共 54 頁(yè) 基于 DCBI3000/DCSM8000 的 IP、 MAC 地址的管理策略，是從網(wǎng)絡(luò)方面針對(duì)內(nèi)網(wǎng)安全進(jìn)行控制的。 在采用 DCBI3000/DCSM8000 的內(nèi)網(wǎng)安全方案后，在用戶主機(jī)未通過(guò)身份準(zhǔn)入規(guī)則進(jìn)入網(wǎng)絡(luò)之前，即使該用戶主機(jī)已經(jīng)通過(guò)有線或無(wú)線在物理上連入進(jìn)網(wǎng)絡(luò)，但仍然是不能訪問(wèn)網(wǎng)絡(luò)的，并且該用戶的所有數(shù)據(jù)包都不能發(fā)送到網(wǎng)絡(luò)上。在這種情況下，即使該用戶主機(jī)上存在大量的可以傳染的網(wǎng)絡(luò)病毒，也是不能在內(nèi)部網(wǎng)絡(luò)上傳播的。 然而僅僅基于用戶 IP、 MAC 地址的管理還不能完全實(shí)現(xiàn)內(nèi)網(wǎng)的安全。有些內(nèi)網(wǎng)方面 的不安全因素，例如：導(dǎo)致了用戶終端的數(shù)據(jù)丟失、操作系統(tǒng)不穩(wěn)定、傳播病毒、操作系統(tǒng)存在漏洞等問(wèn)題，可以不通過(guò) IP、 MAC 偽造仍然能實(shí)現(xiàn)網(wǎng)絡(luò)攻擊、病毒癮傳播、信息竊取等問(wèn)題。 解決這樣的問(wèn)題，就需要更專業(yè)的終端安全廠家的協(xié)助來(lái)完成網(wǎng)絡(luò)終端本身的安全。而防病毒軟件就是這方面最有效的工具。 通過(guò) DCBI3000/DCSM8000 還可以實(shí)現(xiàn)與防病毒軟件的聯(lián)動(dòng)，實(shí)現(xiàn)多方安全產(chǎn)品統(tǒng)一管理，全方面實(shí)現(xiàn)用戶的內(nèi)網(wǎng)和終端的安全。 我們知道一旦有病毒或嚴(yán)重系統(tǒng)漏洞的主機(jī)進(jìn)入到網(wǎng)絡(luò)中，就會(huì)向外傳播病毒或被網(wǎng)絡(luò)上的病毒所傳染。所 以我們要在主機(jī)終端進(jìn)入網(wǎng)絡(luò)之前就對(duì)其進(jìn)行染病情況的判斷和操作系統(tǒng)漏洞方面的判斷。如果該主機(jī)終端存在問(wèn)題，則不允許其進(jìn)入安全的網(wǎng)絡(luò)，而是要將其隔離到一個(gè)用于主機(jī)終端殺毒、系統(tǒng)修復(fù)的專用網(wǎng)絡(luò)中進(jìn)行安全補(bǔ)救。等在主機(jī)終端上把所有安全隱患消除后，才允許其進(jìn)入安全網(wǎng)絡(luò)。 DCBI3000/DCSM8000 是通過(guò)與防病毒軟件聯(lián)動(dòng)，實(shí)現(xiàn)上面的功能。下面以與瑞星聯(lián)動(dòng)為例進(jìn)行說(shuō)明。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 32 頁(yè)，共 54 頁(yè) 首先，要在 DCBI3000/DCSM8000 上配置與防病毒軟件聯(lián)動(dòng)的安全策略，如下圖所示： 圖 21： DCBI3000/DCSM8000 與防病毒軟件聯(lián)動(dòng)的安全策略配置 然后，在神州數(shù)碼的 安全接入交換機(jī)上，配置 free Resource 功能，用于在主機(jī)終端被發(fā)現(xiàn)有安全漏洞后，進(jìn)入 free Resource 網(wǎng)絡(luò)進(jìn)行防病毒軟件的升級(jí)、打補(bǔ)丁等操作。 最后，主機(jī)終端需要安裝神州數(shù)碼安全 client 和瑞星防病毒軟件，并使用神州數(shù)碼安全 client 進(jìn)入網(wǎng)絡(luò)。 在上面的部署成功后， DCBI3000/DCSM8000 與防病毒軟件就可以聯(lián)動(dòng)了，大致過(guò)程如下： 1） 用戶在使用神州數(shù)碼安全 client 進(jìn)行認(rèn)證上網(wǎng)前，神州數(shù)碼安全 client 要 判斷主機(jī)終端上是否啟用了防病毒軟件，并通過(guò)與防病毒軟件聯(lián)動(dòng)獲取防病毒軟件的版本號(hào)、病毒庫(kù)未升級(jí)的時(shí)長(zhǎng)、主機(jī)操作系統(tǒng)存在的漏洞級(jí)別這四項(xiàng)數(shù)據(jù)，然后通過(guò)認(rèn)證數(shù)據(jù)包上傳給DCBI3000/DCSM8000。注意在上傳這些數(shù)據(jù)時(shí)，該用戶仍然是被隔離在網(wǎng)絡(luò)之外的，所以不存在病毒傳染的問(wèn)題。 2） 在這些信息上傳到 DCBI3000/DCSM8000，由 DCBI3000/DCSM8000 決斷是否附合目前的最低安全規(guī)則。 3） 如果該主機(jī)終端附合目前的最低安全規(guī)則，則允許該主機(jī)進(jìn)入安全網(wǎng)絡(luò)。 如果該主機(jī)終端不附合目前的最低 安全規(guī)則， DCBI3000/DCSM8000 將拒絕該主機(jī)進(jìn)入安全的網(wǎng)絡(luò)，并提示該主機(jī)需要進(jìn)入 free Resource 網(wǎng)絡(luò)進(jìn)行操作系統(tǒng)的修補(bǔ)等工作。 ClonePC 盜用威脅以及 DCN 解決方案 ClonePC 威脅 校園網(wǎng)運(yùn)營(yíng)一般采用 認(rèn)證方式，一旦用戶的的 mac 地址通過(guò)了 認(rèn)證，則交換機(jī)會(huì) 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 33 頁(yè)，共 54 頁(yè) 認(rèn)為該 MAC 地址為合法的 MAC 地址，只要源 MAC 地址為合法的數(shù)據(jù)包可正常轉(zhuǎn)發(fā)。 學(xué)生宿舍一般會(huì)通過(guò) hub 對(duì)端口進(jìn)行擴(kuò)展，因此存在 clonePC（克隆 PC）的隱患：即某用戶 X 的 mac地址 MAC X 通過(guò)了 認(rèn)證，則在該 hub 下的另外一名用戶 Y 把 MAC 地址改為 MAC X，同時(shí)把 IP地址改為和用戶 X 一致，即： IP 和 MAC 完全和用戶一致，則用戶 Y 不必認(rèn)證即可上網(wǎng)。 目前大多數(shù)高校的 運(yùn)營(yíng)網(wǎng)絡(luò)存在 clonePC 盜用的運(yùn)營(yíng)漏洞和隱患。 DCN防 ClonePC盜用解決方案 神州數(shù)碼（ DCN） ClonePC的完整解決方案。 防止 clonePC主要采用 arp欺騙技術(shù)，具體方法如下： 客戶端試圖發(fā)送一個(gè) arp Request報(bào)文，報(bào)文格式如下 ： 其中 (只對(duì)主要字段進(jìn)行說(shuō)明 )： ?? 以太網(wǎng)目的地址 :0Xffffffffffff ?? 以太網(wǎng)源地址 ： 0x010beb5b26ac（組播 mac） ?? 發(fā)送方以太網(wǎng)地址： 0x010beb5b26ac ?? 發(fā)送方 ip地址： ?? 目的以太網(wǎng)地址： 0 ?? 目的 ip地址：該網(wǎng)卡對(duì)應(yīng)的 ip地址 在這個(gè)報(bào)文中 ?? 發(fā)送方以太網(wǎng)地址必須填充為組播 mac，這里選用的是 0x010beb5b26ac，希望沒(méi)有重復(fù)的 mac出現(xiàn)，如果選用單播 mac只有本機(jī)會(huì)對(duì)這個(gè) arp Request報(bào) 文做出相應(yīng)，而無(wú)法探測(cè)出 clone pc。 ?? 發(fā)送方 ip地址填 ，希望這個(gè)地址沒(méi)有被人使用，如果被人使用，那也無(wú)法探測(cè)出該 PC是否是 clone pc ?? 由于這個(gè)報(bào)文是偽造的，會(huì)對(duì) arp表造成一點(diǎn)混亂。（這里指的是發(fā)送方 ip地址填的是 ） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 34 頁(yè)，共 54 頁(yè) mac為組播 mac 0x010beb5b26ac防止了用戶的 ip為 ，但是如果用戶的 ip為 clonePC 對(duì)于其他一些報(bào)文格式的填充將不能滿足每個(gè) clonePC都回一個(gè) Arp回應(yīng)報(bào)文。例如： 以太網(wǎng)目的地址： 0Xffffffffffff 以太網(wǎng)源地址 ：本機(jī) mac地址 發(fā)送方以太網(wǎng)地址：本機(jī) mac地址 發(fā)送方 ip地址 0 目的以太網(wǎng)地址： 0 目的 ip地址：該網(wǎng)卡對(duì)應(yīng)的 ip地址 當(dāng)同一 hub下的用戶收到該 arp請(qǐng)求后，如果本機(jī)的 ip和上述 request報(bào)文的目的 ip地址相同，那么就會(huì)以組播 mac 0x010beb5b26ac作為 以太網(wǎng)的目的 mac發(fā)送 arp Response報(bào)文，并根據(jù) arp 協(xié)議填充相應(yīng)的字段。 注意：當(dāng)發(fā)送上述 arp Repuest報(bào)文后，本機(jī)也回應(yīng)一個(gè) arp Response報(bào)文。 根據(jù)以上的分析，如果 hub 下出現(xiàn) clone PC 那么該 clone pc 就會(huì)對(duì)這個(gè)偽造的 arp Request 報(bào)文做出相應(yīng)，因此只需要簡(jiǎn)單的統(tǒng)計(jì) arp Response 報(bào)文的個(gè)數(shù)就可以檢測(cè)出 clone pc 的出現(xiàn)，如果 arp Response報(bào)文的個(gè)數(shù)大于或者等于 2，那么就存在 clone PC 通過(guò)客戶端，神州數(shù)碼可以有效的防范 ClonePC 盜用威脅。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 35 頁(yè)，共 54 頁(yè) 第六章 相關(guān)產(chǎn)品技術(shù)資料 匯聚交換機(jī)（高配）： DCRS6800 技術(shù)資料 產(chǎn)品概述 DCRS6800 系列路由交換機(jī)為企業(yè)和電信網(wǎng)絡(luò)提供了優(yōu)秀的安全性、可靠性、業(yè)務(wù)多樣性和擴(kuò)展能力。 DCRS6800 系列可作為中小型校園網(wǎng)、企業(yè)網(wǎng)的核心層設(shè)備或作為大型校園網(wǎng)、 IP 城域網(wǎng)的匯聚層設(shè)備，它們不僅能夠降低用戶構(gòu)建下一代網(wǎng)絡(luò)的復(fù)雜性，而且提供了很好的投資保護(hù)。 DCRS6800