【正文】 機(jī)上的操作系統(tǒng)以及其上的應(yīng)用程序，甚至是基于Web的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來看，蠕蟲、拒絕服務(wù)、監(jiān)聽、木馬、病毒…都是常見的攻擊工具。 華為3COM 安全 三維度端到端集成安全體系架構(gòu)面對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，華為3COM公司以其長期的網(wǎng)絡(luò)實(shí)踐，基于對當(dāng)前網(wǎng)絡(luò)發(fā)展需求的研究，提出“i3安全”解決方案，即時間、空間、網(wǎng)絡(luò)層次三個緯度端到端集成安全體系架構(gòu)。在該架構(gòu)中，除了可以從熟悉的網(wǎng)絡(luò)層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視覺，具備全面考慮與實(shí)施安全防護(hù)的模型與能力?？臻g業(yè)務(wù)層用戶層事前防范事后追蹤外網(wǎng)網(wǎng)絡(luò)層內(nèi)網(wǎng)網(wǎng)絡(luò)層次時間 華為安全架構(gòu)模型華為安全三維度端到端集成安全體系架構(gòu)：216。 i－intelligence（智能），integrated（集成），individuality（個性化）；216。 3－時間、空間及網(wǎng)絡(luò)層次三個維度的端到端（ End to End）；216。 安全－所有IP信息網(wǎng)絡(luò)的安全架構(gòu)。l 網(wǎng)絡(luò)層次（網(wǎng)絡(luò)層、用戶層、業(yè)務(wù)層）端到端安全理念網(wǎng)絡(luò)的各層次均存在安全威脅的可能，華為的集成安全架構(gòu)充分體現(xiàn)了網(wǎng)絡(luò)安全防范的分層思想，根據(jù)不同網(wǎng)絡(luò)層次的特點(diǎn)進(jìn)行有針對性的防范。網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由，網(wǎng)絡(luò)地址等基礎(chǔ)網(wǎng)絡(luò)的安全；用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全；業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。華為的“i3安全” 集成安全架構(gòu)針對傳統(tǒng)網(wǎng)絡(luò)在用戶層防范比較薄弱的缺陷，采取了大量的增強(qiáng)措施，如用戶接入認(rèn)證、地址防盜用、訪問控制等能力。l 時間（事前、事后）端到端安全理念以前業(yè)界更關(guān)注網(wǎng)絡(luò)的事前防范能力，而對事后跟蹤能力考慮很少，實(shí)際上大多數(shù)安全攻擊都是可以通過實(shí)施安全法規(guī)避免的，而事后追蹤能力是實(shí)施安全法規(guī)最重要的技術(shù)基礎(chǔ)。另外，安全在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費(fèi)的代價(jià)與技術(shù)實(shí)現(xiàn)難度有非常大的差別：事前防范：主要通過數(shù)據(jù)隔離、加密、過濾、管理等技術(shù)，加強(qiáng)整個網(wǎng)絡(luò)的健壯性；事后跟蹤：通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。實(shí)際上日志記錄等功能是一個非常良好的追溯手段，在出現(xiàn)問題時可以根據(jù)記錄迅速查找源頭，防止事態(tài)進(jìn)一步擴(kuò)大；同時可以通過法律懲治罪犯，以警后人。但原來的日志記錄都僅限于在應(yīng)用層的服務(wù)器做。這個方案最大的問題就是寬帶網(wǎng)絡(luò)提供靈活的接入手段使得接口分布廣泛，僅在應(yīng)用層做記錄無法定位用戶的位置，特別是當(dāng)出現(xiàn)應(yīng)用層賬號密碼盜用時給后期的進(jìn)一步追查帶來很大的困難。而華為的“i3安全”架構(gòu)提供在網(wǎng)絡(luò)級做日志記錄的能力，可以定位到端口，從而確定物理地點(diǎn)與時間，將會給后期進(jìn)一步查明真相帶來很大的幫助。特別是針對我國IP地址比較少，公有地址和私有地址混合組網(wǎng)等隨處可見的情況，獨(dú)具在私有地址環(huán)境下的追溯能力。l 空間（外網(wǎng)、內(nèi)網(wǎng)）端到端安全理念以往的安全體系側(cè)重在外網(wǎng)防范上下工夫，而對內(nèi)網(wǎng)安全考慮很少。接入Internet的外網(wǎng)與辦工系統(tǒng)的內(nèi)網(wǎng)所面臨的網(wǎng)絡(luò)環(huán)境、安全防范的目標(biāo)、對用戶的管理力度都有很大的差異，所以必須針對外網(wǎng)與內(nèi)網(wǎng)的不同特點(diǎn)制定有效的安全策略：外網(wǎng)：通過VPN、加密等保證信息安全，通過網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范；內(nèi)網(wǎng)：通過對用戶的識別，保證合法的用戶訪問合法的網(wǎng)絡(luò)范圍，并做好訪問記錄，側(cè)重的是監(jiān)控。隨著網(wǎng)絡(luò)上應(yīng)用的進(jìn)一步增多，隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而網(wǎng)絡(luò)的安全防護(hù)作為一個系統(tǒng)工程，其范圍與深度早已超出了我們原來的預(yù)料，并還將進(jìn)一步發(fā)展。只有從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。 多元綁定技術(shù)對山東電力學(xué)校新校區(qū)安全的應(yīng)用“安全”是校園網(wǎng)當(dāng)中用戶最為關(guān)注的問題，其主要的原因是學(xué)校用戶是一個特殊的群體——學(xué)生，學(xué)生群體是一個好奇心強(qiáng)，技術(shù)水平較高，技術(shù)消息互通迅速的群體。因此，高校的校園網(wǎng)建設(shè)當(dāng)中，如何解決安全問題是每一個網(wǎng)絡(luò)設(shè)計(jì)師最為頭痛的問題。校園網(wǎng)的安全特征1． MAC 地址的盜用MAC地址的盜用是指學(xué)校上網(wǎng)用戶通過各種軟件（實(shí)際上是通過修改注冊表）將自己的MAC地址進(jìn)行修改，改為一個未知的MAC地址或是改為別人的MAC地址。MAC地址的盜用可對整個網(wǎng)絡(luò)帶來巨大的隱患：a) 接入交換機(jī)MAC地址表溢出。由于二層交換機(jī)內(nèi)部有一張維護(hù)的MAC地址表，當(dāng)非法用戶通過各種手段將自己報(bào)文中的源MAC地址更改時，就會導(dǎo)致交換機(jī)內(nèi)的MAC地址表項(xiàng)越來越多，最終使得MAC地址表塞滿，當(dāng)新的用戶通過交換機(jī)上網(wǎng)的時候，由于交換機(jī)內(nèi)部的MAC地址表已經(jīng)塞滿，而且新的非法報(bào)文的源MAC地址將會不斷的刷新交換機(jī)中的MAC地址表。這樣的攻擊將導(dǎo)致合法用戶無法接入，（新增合理用戶的MAC地址表項(xiàng)將會不斷被非法用戶的MAC地址覆蓋），嚴(yán)重時可以直接導(dǎo)致接入交換機(jī)癱瘓。b) 隱藏自身MAC地址或盜取其他用戶的MAC地址。當(dāng)非法用戶更改的MAC地址是預(yù)先知道的某個合法用戶的MAC地址時，合法用戶就無法通過二層交換機(jī)上網(wǎng)，因?yàn)樵诮粨Q機(jī)的MAC地址表是不允許存在兩個相同的MAC在同一張MAC地址表中存在。如果我們對該非法用戶依據(jù)其MAC地址進(jìn)行了跟蹤記錄，那么這條記錄追查到的結(jié)果一定是錯誤的。MAC地址盜用給用戶所帶來的影響遠(yuǎn)遠(yuǎn)不止這些，以上只是列舉了一下校園網(wǎng)當(dāng)中常見的幾種MAC地址盜用問題。2． IP地址盜用IP地址盜用帶來的問題與MAC地址的盜用來說有過之而無不及，IP地址對于用戶來說更加直觀，用戶更改IP地址比更改MAC地址更加的方便，這使得IP地址盜用比MAC地址盜用更加普遍。常見的IP地址盜用存在以下幾種常見情況：a) 私自更改自己的IP地址。對于用戶來說有些用戶出于好奇或是其他的各種想法，手工更改自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網(wǎng)，同時也將導(dǎo)致整個網(wǎng)絡(luò)的IP地址管理混亂。b) 通過各種軟件進(jìn)行基于IP的攻擊。Dos是最常見的一種基于IP的攻擊方式，其原理是非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，這樣就可以逃避網(wǎng)管的追查，“堂而皇之”的攻擊對方了。3． 端口的不固定性雖然大家為了提高整個網(wǎng)絡(luò)的正常運(yùn)作出了各種各樣的努力，但是網(wǎng)絡(luò)當(dāng)中終究還是會出現(xiàn)各種各樣的安全問題，這就需要對已發(fā)生的問題進(jìn)行完整的記錄以及徹底的追查，“端口的固定”就成為了網(wǎng)絡(luò)管理員們關(guān)心的問題。網(wǎng)絡(luò)的搗亂分子往往在不同的位置上網(wǎng)，同時在網(wǎng)上留下大量的“劣跡”，由于非法用戶在非固定的端口進(jìn)行的動作，因此，對于網(wǎng)絡(luò)的管理員來說，要找出他們就如同“大海撈針”。4． 賬號的盜用賬號的盜用實(shí)際上是由網(wǎng)絡(luò)的管理角度延伸出來的一種“盜用”方式，我們這里所說的賬號的盜用更多的是指“賬號的共享”，對于學(xué)校的管理來說，如果沒有對賬號做好“處理”，一個賬號很有可能被多個用戶使用，對于采用包月方式的計(jì)費(fèi)方式，一個賬號多個用戶使用意味著將會給運(yùn)營帶來巨大的麻煩，我們的網(wǎng)絡(luò)根本達(dá)不到真正意義上“運(yùn)營”。同時，賬號的混亂使得我們根本無法做到“網(wǎng)絡(luò)管理到人”的目的。 綁定技術(shù)為山東電力學(xué)校新校區(qū)規(guī)劃高安全的校園網(wǎng)眾多的盜用問題使得我們想：如果限制用戶只能用自己的賬號、采用自己的密碼、采用自己的主機(jī)、采用分給他的IP地址、采用固定的物理端口進(jìn)行接入，如果其中的一項(xiàng)不相符，認(rèn)證就不允許通過。這樣，多元素的綁定技術(shù)就誕生了。華為3Com S3900P系列接入層交換機(jī)均支持多種綁定技術(shù)。我們上面所說的用戶賬號、密碼、用戶的主機(jī)（MAC地址）、分配的IP地址、對應(yīng)的交換機(jī)端口五個元素進(jìn)行綁定，為了限制用戶的VLAN間的漫游在綁定的過程當(dāng)中同樣可以將VLAN作為其中的一個綁定元素進(jìn)行綁定，這樣就成了6元組的綁定。但如果我們分配每個端口一個單獨(dú)的VLAN， VLAN的綁定實(shí)際上就成了端口的綁定。實(shí)際上綁定的技術(shù)可以通過兩種方式來進(jìn)行實(shí)現(xiàn)：AAA（CAMS）服務(wù)器的綁定、接入層交換機(jī)的綁定，下面我們分別來進(jìn)行介紹。1) AAA（CAMS）服務(wù)器的綁定：我們來看，通過AAA（CAMS）服務(wù)器作綁定主要是在AAA（CAMS）的服務(wù)器中都存在有我們對于每一個接入用戶的元素信息，我們舉例來說，用戶A在發(fā)起認(rèn)證的時候，首先要到AAA（CAMS）服務(wù)器上進(jìn)行身份認(rèn)證，AAA（CAMS）服務(wù)器會檢驗(yàn)用戶認(rèn)證信息中攜帶的元素是否與服務(wù)器中預(yù)先存有的信息一致（賬號Aamp。賬號amp。MACAamp。IPAamp。端口Aamp。VLANA），如果一致則認(rèn)證通過，否則，就認(rèn)為該用戶為非法用戶，嚴(yán)禁接入。當(dāng)用戶通過了認(rèn)證以后，接入層交換機(jī)與認(rèn)證客戶端（）之間還會不間斷的通過檢測報(bào)文（Hello）進(jìn)行檢測，一旦用戶在通過認(rèn)證之后更改自己的IP，客戶端會通知交換機(jī)，交換機(jī)再上報(bào)至AAA（CAMS）服務(wù)器，AAA（CAMS）服務(wù)器會強(qiáng)制用戶下線，這種方式可以實(shí)現(xiàn)對用戶有效的控制。2) 接入層交換機(jī)的綁定： AAA（CAMS）服務(wù)器可以實(shí)現(xiàn)多元素的綁定，但是我們也可以看的出來，這種綁定技術(shù)并不是所有的AAA（CAMS）服務(wù)器都可以實(shí)現(xiàn)的，同時，部分的元素綁定還要通過接入層交換機(jī)與AAA（CAMS）服務(wù)之間進(jìn)行友好的配合才能夠?qū)崿F(xiàn)，所以此種方式往往是在新建統(tǒng)一品牌的校園網(wǎng)當(dāng)中可以采用。實(shí)際上除了AAA（CAMS）服務(wù)器能夠?qū)崿F(xiàn)對于用戶的多元素的綁定，通過接入層交換機(jī)同樣可以實(shí)現(xiàn)對于多元素的綁定，而接入層交換機(jī)的綁定技術(shù)大致又可以分為三種方式：a) 靜態(tài)技術(shù)。靜態(tài)綁定在綁定技術(shù)當(dāng)中最為簡單，網(wǎng)管管理人員只需要將對應(yīng)交換機(jī)下的接入用戶相關(guān)元素進(jìn)行搜集，并在該交換機(jī)上進(jìn)行配置即可實(shí)現(xiàn)對每個用戶的控制。如圖所示，當(dāng)接入用戶的相關(guān)元素與接入交換機(jī)ACL列表中的對應(yīng)關(guān)系不相符時，交換機(jī)認(rèn)為該用戶為非法用戶，禁止接入。這種方式可以有效的對用戶進(jìn)行控制，用戶的MAC、IP、物理位置、VLAN成為用戶上網(wǎng)的鑰匙。靜態(tài)綁定技術(shù)不需要依靠其他任何的設(shè)備，如：AAA（CAMS）服務(wù)器等。但是如果網(wǎng)絡(luò)較大、接入交換機(jī)數(shù)量較多，這種綁定方式會給用戶帶來的一些不便，如：用戶的網(wǎng)卡更換、物理位置的更換、IP地址重新分配等等。因?yàn)檫@些變化會產(chǎn)生對應(yīng)接入交換機(jī)的進(jìn)行配置更改?？梢酝ㄟ^一條簡單的命令形式搞定靜態(tài)綁定：命令：am userbind { interface { interfacename | interfacetype interfacenum } { macaddr mac | ipaddr ip }* | macaddr mac { interface { interfacename | interfacetype interfacenum } | ipaddr ip }* | ipaddr ip { interface { interfacename | interfacetype interfacenum } | macaddr mac }* }undo am userbind { interface { interfacename | interfacetype interfacenum } { macaddr mac | ipaddr ip }* | macaddr mac { interface { interfacename | interfacetype interfacenum } | ipaddr ip }* | ipaddr ip { interface { interfacename | interfacetype interfacenum } | macaddr mac }* }參數(shù)說明：interfacename：端口名，表示方法為interfacename=interfacetype interfacenum。interfacetype：端口類型。Interfacenum：端口號。參數(shù)的具體說明請參見interface命令中的參數(shù)說明。mac：MAC地址。ip：IP地址。描述am userbind命令用來將端口、IP地址和MAC地址綁定在一起，undo am userbind命令用來取消端口、IP地址和MAC地址的綁定。但新的學(xué)生入學(xué)而帶來的新的大量MAC地址需要在接入交換機(jī)上進(jìn)行添加；學(xué)生因?yàn)樗奚岬恼{(diào)整而產(chǎn)生的交換機(jī)配置的更改；新增開戶的分散性給交換機(jī)帶來的配置更改等等。雖然現(xiàn)在網(wǎng)管技術(shù)使得我們可以減少部分的工作量，但是這種無規(guī)律性的變化往往會導(dǎo)致網(wǎng)絡(luò)的管理人員對自己的網(wǎng)絡(luò)無法實(shí)時的了解，接入交換機(jī)數(shù)量巨大也會增加網(wǎng)管人員的工作量，最終導(dǎo)致整個網(wǎng)絡(luò)的混亂以及無序性。b) 自動綁定、釋放技術(shù)。靜態(tài)的綁定技術(shù)雖然解決了我們在網(wǎng)絡(luò)當(dāng)中遇到的各類問題，但是由于其不友好的特點(diǎn)也給人們帶來了大量的不便，因此我們建議采用自動綁定、釋放技術(shù)來作為用戶安全管理的重要方式。自動綁定、釋放技術(shù)主要是為了防止用戶在通過認(rèn)證以后，在上網(wǎng)期間隨意更改自己的IP地址，同時可以防范Dos攻擊等多種非法用戶的攻擊，如圖所示，用戶在認(rèn)證通過以后在交換機(jī)上會產(chǎn)生一條ACL策略將該用戶的IP、MAC、VLAN、端口進(jìn)行捆綁，如果此時用戶隨意更改自己的IP地址，交換機(jī)將會強(qiáng)制用戶下線。用戶下線后，對應(yīng)端口的ACL策略會自動釋放、刪除，這種綁定技術(shù)對于動態(tài)IP地址和靜態(tài)IP地址的方式都可以采用，只是動態(tài)IP地址的方式。3) 兩種技術(shù)的綜合綜合上述的綁定技術(shù)，在山東電力學(xué)校新校區(qū)網(wǎng)絡(luò)建設(shè)中我們建議采用兩種技術(shù)的結(jié)合的方式來實(shí)現(xiàn)對于用戶的安全、控制。如果我們將AAA（CAMS）服務(wù)器的綁定與接入層交換機(jī)的自動綁定、釋放技術(shù)結(jié)合起來會發(fā)現(xiàn)，其可以提供一個少工作量、高安全的校園網(wǎng)解決方案。防止DOS等攻擊。采用AAA（CAMS）服務(wù)器的綁定方式可以實(shí)現(xiàn)對在線用戶IP地址更改強(qiáng)制