【正文】 造的源IP地址要查出是從哪臺(tái)機(jī)器產(chǎn)生的就更加困難了。如果不能及時(shí)對(duì)故障源準(zhǔn)確地定位、迅速地隔離，將會(huì)導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。（二）阻止來(lái)自網(wǎng)絡(luò)第二層攻擊的重要性工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理賬戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。木馬、蠕蟲(chóng)病毒的攻擊不僅僅是攻擊和欺騙，同時(shí)還會(huì)帶來(lái)網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過(guò)高、二層生成樹(shù)環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實(shí)施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過(guò)獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會(huì)繼續(xù)進(jìn)行，同時(shí)任何用戶都不會(huì)感覺(jué)到攻擊已經(jīng)危及應(yīng)用層的信息安全。所以，僅僅基于認(rèn)證（如IEEE ）和訪問(wèn)控制列表（ACL，Access Control Lists）的安全措施是無(wú)法防止本文中提到的來(lái)自網(wǎng)絡(luò)第二層的安全攻擊。一個(gè)經(jīng)過(guò)認(rèn)證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的安全問(wèn)題，根據(jù)這些安全威脅的特征分析，這些攻擊都來(lái)自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：(1) MAC地址泛濫攻擊(2) DHCP服務(wù)器欺騙攻擊(3) ARP欺騙Cisco Catalyst交換系列的創(chuàng)新特性針對(duì)這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)：(1) Port Security(2) DHCP Snooping (3) Dynamic ARP Inspection (DAI)下面主要針對(duì)目前這些非常典型的二層攻擊和欺騙說(shuō)明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過(guò)上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口，防止IP地址沖突。同時(shí)對(duì)于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。（三）MAC泛濫攻擊防范方法限制單個(gè)端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲(chóng)病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來(lái)產(chǎn)生隨機(jī)源MAC地址和隨機(jī)目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時(shí)間內(nèi)填滿交換機(jī)的CAM表。Cisco Catalyst交換機(jī)的端口安全（Port Security）和動(dòng)態(tài)端口安全功能可被用來(lái)阻止MAC泛濫攻擊。例如交換機(jī)連接單臺(tái)工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機(jī)。通過(guò)端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法MAC地址，實(shí)現(xiàn)設(shè)備級(jí)的安全授權(quán)。動(dòng)態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過(guò)配置Port Security可以控制：(1) 端口上最大可以通過(guò)的MAC地址數(shù)量(2) 端口上學(xué)習(xí)或通過(guò)哪些MAC地址(3) 對(duì)于超過(guò)規(guī)定數(shù)量的MAC處理進(jìn)行違背處理端口上學(xué)習(xí)或通過(guò)哪些MAC地址，可以通過(guò)靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是Sticky Port Security，交換機(jī)將學(xué)到的mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對(duì)于超過(guò)規(guī)定數(shù)量的MAC處理進(jìn)行處理一般有三種方式（針對(duì)交換機(jī)型號(hào)會(huì)有所不同）：(1) Shutdown：端口關(guān)閉。(2) Protect：丟棄非法流量，不報(bào)警。(3) Restrict：丟棄非法流量，報(bào)警（四）DHCP Snooping技術(shù)概述DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。通過(guò)截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機(jī)可以在用戶和DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色?！癉HCP監(jiān)聽(tīng)”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。在沒(méi)有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從DHCP服務(wù)器上獲取的地址）、客戶端MAC地址、端口、VLAN ID、租借時(shí)間、綁定類型?；痉婪叮簽榱朔乐惯@種類型的攻擊，Catalyst DHCP偵聽(tīng)（DHCP Snooping）功能可有效阻止此類攻擊，當(dāng)打開(kāi)此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機(jī)阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。Catalyst DHCP偵聽(tīng)（DHCP Snooping）對(duì)于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。六、綜合布線系統(tǒng)（一）結(jié)構(gòu)化布線設(shè)計(jì)的要求結(jié)構(gòu)化布線設(shè)計(jì)應(yīng)該滿足以下目標(biāo)1. 滿足各項(xiàng)主要業(yè)務(wù)的需求，且兼顧未來(lái)長(zhǎng)遠(yuǎn)發(fā)展2. 符合當(dāng)前和長(zhǎng)遠(yuǎn)的信息傳輸要求3. 布線系統(tǒng)設(shè)計(jì)遵從國(guó)際（ISO/IEC 11801） 標(biāo)準(zhǔn)和郵電部和建設(shè)部標(biāo)準(zhǔn),布線系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的星型拓?fù)浣Y(jié)構(gòu)4. 布線系統(tǒng)將支持語(yǔ)音、數(shù)據(jù)等綜合信息（如 ADSL、B－ISDN 、ATM 等）的高質(zhì)量傳輸，并適應(yīng)各種不同類型不同廠商的電腦及網(wǎng)絡(luò)產(chǎn)品5. 布線系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的RJ45插座，以同一的線路規(guī)格和設(shè)備接口，使任意信息點(diǎn)都能接插不同類型的終端設(shè)備，如電腦、打印機(jī)、網(wǎng)絡(luò)終端、電話機(jī)、傳真機(jī)等，以支持話音、數(shù)據(jù)、圖象等數(shù)據(jù)信息和多媒體信息的傳輸6. 布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)ISDN的要求，以便與國(guó)內(nèi)國(guó)際其它網(wǎng)絡(luò)互連。（二）系統(tǒng)設(shè)計(jì)原則1. 設(shè)計(jì)原則(1)設(shè)計(jì)標(biāo)準(zhǔn)：ISO 11801國(guó)際綜合布線標(biāo)準(zhǔn)IEEE 802標(biāo)準(zhǔn)EIA/TIA 568工業(yè)標(biāo)準(zhǔn)及國(guó)際商務(wù)建筑布線標(biāo)準(zhǔn)(2)安裝與設(shè)計(jì)規(guī)范建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范CECS 72:97建筑與建筑群綜合布線工程施工及驗(yàn)收規(guī)范CECS 89:97中國(guó)建筑電氣設(shè)計(jì)規(guī)范工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范2. 設(shè)計(jì)目標(biāo)（1）實(shí)用性實(shí)施后的布線系統(tǒng)，將能夠在現(xiàn)在和將來(lái)適應(yīng)技術(shù)的發(fā)展，并且實(shí)現(xiàn)數(shù)據(jù)通信、語(yǔ)音通信、圖像通信。（2）靈活性布線系統(tǒng)能夠滿足靈活應(yīng)用的要求，即任一信息點(diǎn)能夠連接不同類型的設(shè)計(jì)，如計(jì)算機(jī)、打印機(jī)、終端或電話、傳真機(jī)。（3）模塊化布線系統(tǒng)中，除去敷設(shè)在建筑內(nèi)的纜線外，其余所有的接插件都應(yīng)是積木式的標(biāo)準(zhǔn)件，以方便管理和使用。（4）擴(kuò)充性由于所有基礎(chǔ)設(shè)施（材料、部件、通信設(shè)備）都采用國(guó)際標(biāo)準(zhǔn)，無(wú)論計(jì)算機(jī)設(shè)備、通信設(shè)備、控制設(shè)備隨技術(shù)如何發(fā)展，將來(lái)都可很方便地將這些設(shè)備擴(kuò)充到系統(tǒng)中去。（5）經(jīng)濟(jì)性在滿足應(yīng)用要求的基礎(chǔ)上，盡可能低造價(jià)。成績(jī)?cè)u(píng)定表評(píng)分標(biāo)準(zhǔn)1報(bào)告結(jié)構(gòu)（20%）2方案內(nèi)容（40%）3排版格式（20%）4標(biāo)點(diǎn)錯(cuò)別字（20%）5創(chuàng)新點(diǎn)（10%）成績(jī)總成績(jī)?cè)u(píng)閱意見(jiàn)成績(jī)?cè)u(píng)閱表：成員成績(jī)表：成員排序1（系數(shù)：1）2（系數(shù)：）3（系數(shù)：）4（系數(shù)：）5（系數(shù)：）姓名夏紅學(xué)號(hào)0911090122成績(jī)?cè)u(píng)閱教師： 日期：2011年7月18日25