【正文】 交換機是采用了逐包轉(zhuǎn)發(fā)的機制，它和傳統(tǒng)的流轉(zhuǎn)發(fā)機制在安全性方面有著根本的差異。流轉(zhuǎn)發(fā)為一次路由多次交換，它的特點是一旦查找一次路由后，就把查找結(jié)果存放在CACHE里，以后同樣目的地址的包就不用重新查找，直接采用類似二層交換的技術(shù)，直接轉(zhuǎn)發(fā)到目的端口去。但是如果應(yīng)用的情況為路由表項經(jīng)常出現(xiàn)變更的情況，就會導(dǎo)致無法通過硬件的精確匹配的方式查找到路由，這時三層以太網(wǎng)交換機的就會轉(zhuǎn)為通過CPU軟件進(jìn)行路由查找，查表和轉(zhuǎn)發(fā)速度就會急劇下降。也就是說三層交換機在進(jìn)行數(shù)據(jù)報文轉(zhuǎn)發(fā)時主要根據(jù)數(shù)據(jù)報文的五元組特征進(jìn)行精確命中數(shù)據(jù)轉(zhuǎn)發(fā)，對于“紅色代碼”病毒攻擊時由于其病毒報文的端口號是頻繁進(jìn)行變換，其五元組信息始終處于一個不停變換階段，這樣導(dǎo)致三層交換機CPU不停進(jìn)行路由查找，由于這類報文另外一個特征就是短時間內(nèi)產(chǎn)生大量報文，從而最終導(dǎo)致三層交換機CPU在轉(zhuǎn)發(fā)過程中癱機，同時這臺交換機下掛的三層交換機同樣接收到大量病毒報文，基于上述原因其CPU轉(zhuǎn)發(fā)引擎也將癱機。對于采用網(wǎng)絡(luò)拓?fù)潋?qū)動的路由交換機而言由于采用逐包轉(zhuǎn)發(fā)，進(jìn)行的是最大匹配方式路由查找，當(dāng)數(shù)據(jù)報文端口號進(jìn)行變換的情況下，對路由器轉(zhuǎn)發(fā)不造成影響，所以一旦遭受“紅色代碼”病毒攻擊時沒有任何問題。MAC地址的綁定可以直接實現(xiàn)用戶對于邊緣用戶的管理，提高整個網(wǎng)絡(luò)的安全性、可維護性。. 接入層防Proxy的功能考慮到大學(xué)用戶的技術(shù)性較強，在實際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到Proxy的使用，對于Proxy的防止，一旦檢測到用戶PC機上存在兩個活動的IP地址（不論是單網(wǎng)卡還是雙網(wǎng)卡），交換機將會下發(fā)指令將該用戶直接踢下線。. 防止對DHCP服務(wù)器的攻擊使用DHCP Server動態(tài)分配IP地址會存在兩個問題：一是DHCP Server假冒，用戶將自己的計算機設(shè)置成DHCP Server后會與局方的DHCP Server沖突；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。Private VLAN解決這個問題的方法之一是在桌面交換機上啟用Private VLAN的功能。訪問控制列表對于有三層功能的交換機，可以用訪問列表來實現(xiàn)。之后把這個訪問列表應(yīng)用到各個物理端口上。新的命令因為它的全局意義，也為了突出該安全功能，建議有如下單條命令的配置：service dhcpoffer deny [exclude interface interfacetype interfacenumber ][ interface interfacetype interfacenumbert | none]如果輸入不帶選項的命令no dhcpoffer，那么整臺交換機上連接的DHCP服務(wù)器都不能提供DHCP服務(wù)。除了該指定的物理端口以外，交換機會丟棄其他物理端口的in方向的DHCP OFFER報文。當(dāng)然如果該物理端口下面僅僅下聯(lián)該私設(shè)DHCP服務(wù)器，那么可以直接disable該端口。選擇none就是放開對dhcpoffer的控制。由于校園網(wǎng)用戶具有很強的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。ARP攻擊包括中間人攻擊(Man In The Middle)和仿冒網(wǎng)關(guān)兩種類型：中間人攻擊：按照 ARP 協(xié)議的原理，為了減少網(wǎng)絡(luò)上過多的 ARP 數(shù)據(jù)通信，一個主機，即使收到的 ARP 應(yīng)答并非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了“ ARP 欺騙”的可能。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。 仿冒網(wǎng)關(guān)：攻擊者冒充網(wǎng)關(guān)發(fā)送免費ARP，其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后，更新自己的ARP表項，后續(xù)，受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會發(fā)往攻擊者。而攻擊者可以憑借此攻擊而獨占上行帶寬。2． 用戶PC上綁定網(wǎng)關(guān)的IPMAC映射，通過CAMS服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān)IPMAC映射到iNode客戶端，iNode客戶端在用戶PC上針對所有網(wǎng)卡查找匹配的網(wǎng)關(guān)，并將匹配網(wǎng)關(guān)的IPMAC映射關(guān)系在PC上形成靜態(tài)ARP綁定，從而有效防止針對主機的網(wǎng)關(guān)仿冒ARP攻擊。. 網(wǎng)絡(luò)層安全解決方案. 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過這些冗余能力，實現(xiàn)整個網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)設(shè)備多節(jié)點冗余主要是指在網(wǎng)絡(luò)中同一個設(shè)備節(jié)點部署雙機設(shè)備，通過雙機進(jìn)行實現(xiàn)相互備份和負(fù)載均衡，在南京藝術(shù)學(xué)院校園的網(wǎng)絡(luò)改造建議方案中，我們在關(guān)鍵的節(jié)點都進(jìn)行了雙機配置。其次，采取高安全性的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)與安全的融合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新，H3C系列網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強。除了上述豐富的基本安全特性，H3C網(wǎng)絡(luò)設(shè)備具備非常豐富的動態(tài)安全特性，主要包括動態(tài)VLAN的下發(fā)和動態(tài)ACL的下發(fā)， VLAN，而且提供端口隔離功能，只允許用戶端口與上行端口轉(zhuǎn)發(fā)報文，從而阻斷下掛各個用戶私有網(wǎng)絡(luò)之間的互相訪問，從鏈路層保障用戶轉(zhuǎn)發(fā)數(shù)據(jù)的安全；，實現(xiàn)用戶的動態(tài)隔離，保證用戶數(shù)據(jù)的隱私，杜絕內(nèi)部攻擊，與其他安全防護設(shè)備進(jìn)行聯(lián)動，構(gòu)建全局的、立體的、動態(tài)安全防護體系。網(wǎng)關(guān)系統(tǒng)的基本功能描述如下：配置管理：主要包括設(shè)備監(jiān)控、遠(yuǎn)程控制、遠(yuǎn)程維護、自動搜索等；性能管理：主要包括性能數(shù)據(jù)可視化、閾值設(shè)置和報警、性能分析和預(yù)測、性能策略支持等；失效管理：主要包括故障定位、故障報警、故障恢復(fù)等；安全管理：訪問認(rèn)證和授權(quán)、網(wǎng)絡(luò)隔離、遠(yuǎn)程訪問控制、應(yīng)用訪問控制等。同時，通過各種特性VLAN的部署，可以更加靈活的實現(xiàn)網(wǎng)絡(luò)流量和業(yè)務(wù)的隔離，比如，通過PVLAN技術(shù)，可以實現(xiàn)同一個VLAN內(nèi)部服務(wù)器之間相互訪問的隔離；通過動態(tài)VLAN的部署，可以實現(xiàn)用戶在任何位置接入網(wǎng)絡(luò)都能被隔離到自己所屬的VLAN中。在南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)中，可以在以下位置部署防火墻和IPS產(chǎn)品：數(shù)據(jù)中心需要通過防火墻進(jìn)行有效的隔離，網(wǎng)絡(luò)安全隔離一直是Internet技術(shù)發(fā)展的重要研究課題。為了能夠確保用戶的安全需求，并提供一體化的解決思路，在，可以根據(jù)用戶對于安全防護的考慮，將Secure VLAN技術(shù)融入到VLA技術(shù)中，可以實現(xiàn)對內(nèi)網(wǎng)，DMZ多個區(qū)域的保護，可以用于內(nèi)網(wǎng)的VLAN跨區(qū)域保護。在惡意程序?qū)︻A(yù)定目標(biāo)進(jìn)行攻擊時，虛擬補丁程序就會立即“現(xiàn)身”— 確定并阻擋發(fā)送來的惡意通訊。這種專門設(shè)計的過濾器可應(yīng)對最大范圍的攻擊和應(yīng)對最大彈性的規(guī)避。. 用戶層解決方案網(wǎng)絡(luò)環(huán)境下的防病毒必須層層設(shè)防，逐層把關(guān)，堵住病毒傳播的各種可能途徑，為南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)系統(tǒng)提供一個穩(wěn)定高效、技術(shù)一流、方便管理、服務(wù)周全的網(wǎng)絡(luò)病毒防護體系，網(wǎng)絡(luò)防病毒體系主要包括：216。因此需要在南京藝術(shù)學(xué)院校園與Internet接口處重點防范病毒的傳播。 郵件防病毒：郵件附件是當(dāng)前網(wǎng)絡(luò)病毒傳播的一個重要途徑，因此要在郵件服務(wù)器上配置郵件防病毒軟件，檢查所有從郵件服務(wù)器發(fā)送和接收的郵件，特別是其郵件附件。在打開郵件之前，最好打電話與發(fā)件人確認(rèn)，因為很多郵件病毒是自動從通訊錄中查找收件人的。216。216。216。l 設(shè)備選型建議：216。存儲系統(tǒng)的冗余配置是最重要的，因為數(shù)據(jù)安全才是整個安全系統(tǒng)的根本目的，數(shù)據(jù)的可靠性和可用性是數(shù)據(jù)安全的根本。. 漏洞掃描及安全評估系統(tǒng)的配置為了事先發(fā)現(xiàn)網(wǎng)絡(luò)中各種操作系統(tǒng)和應(yīng)用平臺的安全性，可以采用漏洞掃描系統(tǒng)對重要的服務(wù)器先進(jìn)行掃描，以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞和安全薄弱環(huán)節(jié)，通過漏洞掃描系統(tǒng)可以解決我們前面分析的操作系統(tǒng)以及服務(wù)平臺的安全隱患。. 應(yīng)用系統(tǒng)開發(fā)中加強安全機制我們建議南京藝術(shù)學(xué)院校園在應(yīng)用系統(tǒng)開發(fā)時，要在應(yīng)用程序中加強對程序代碼的控制，提高應(yīng)用系統(tǒng)自身的安全性，在開發(fā)應(yīng)用系統(tǒng)時，有以下幾個方面要特別注意：1） 要加強對輸入的判斷，除了在瀏覽器端要進(jìn)行簡單的判斷之外，更主要的是要在服務(wù)器端做相應(yīng)的判斷：一要檢查輸入值的長度和大?。欢獧z查輸入值中是否帶有非法字符，特別是在WEB應(yīng)用中的單引號和一些控制字符。3） 很多數(shù)據(jù)庫在安裝之后會有一個缺省的管理員帳號，且其口令一般為空或是通用口令，數(shù)據(jù)庫管理員要及時更改這些帳號，并且設(shè)置高強度的口令字。6. 校園管理中心設(shè)計. 數(shù)字化校園管理綜述“十五”期間數(shù)字化校園信息化建設(shè)取得了輝煌成果，基本實現(xiàn)了高帶寬、廣覆蓋、可運營、可管理的數(shù)字化校園硬件平臺，完成了學(xué)?；镜慕虒W(xué)、科研、管理和服務(wù)系統(tǒng)的信息化建設(shè)。在應(yīng)用系統(tǒng)建設(shè)方面，實現(xiàn)了網(wǎng)絡(luò)教學(xué)系統(tǒng)、數(shù)字化圖書館系統(tǒng)和網(wǎng)絡(luò)實驗室系統(tǒng)等面向教學(xué)和科研的應(yīng)用系統(tǒng)；在校園管理信息系統(tǒng)、辦公自動化系統(tǒng)、社區(qū)服務(wù)系統(tǒng)、一卡通系統(tǒng)等方面也取得了一定的成績。隨著信息技術(shù)的發(fā)展，為提高辦公效率及改善教學(xué)環(huán)境，當(dāng)前的學(xué)校越來越多地應(yīng)用了信息技術(shù)，對于網(wǎng)絡(luò)的依賴性也越來越大，學(xué)生需要上網(wǎng)查閱資料、吸收新知識、接受網(wǎng)上教學(xué)，老師需要借此了解最新科研進(jìn)展。隨著網(wǎng)絡(luò)基礎(chǔ)架構(gòu)日趨復(fù)雜，傳統(tǒng)的設(shè)備命令行、簡單的管理工具已經(jīng)不能夠滿足網(wǎng)絡(luò)管理的需求。. 集成化管理平臺H3C專注于IP產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、性價比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。H3C iMC是H3C IToIP解決方案的統(tǒng)一管理中心，基于SOA架構(gòu)，采用靈活的組件化結(jié)構(gòu)，支持與HP Openview、SNMPc等通用網(wǎng)管平臺的集成，支持集成各多廠家設(shè)備管理系統(tǒng)，與H3C的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案，幫助客戶真正實現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。H3C智能管理中心解決方案架構(gòu)如下圖所示：H3C iMC解決方案架構(gòu)由上圖可以看出H3C iMC管理系統(tǒng)由智能管理平臺以及各個業(yè)務(wù)組件組成，管理平臺提供網(wǎng)絡(luò)管理的一些基礎(chǔ)功能，比如故障管理、性能管理、資源和拓?fù)涔芾?、用戶管理等，而業(yè)務(wù)組件提供了相應(yīng)的業(yè)務(wù)管理功能；各個業(yè)務(wù)組件相對獨立，并可以無縫的集成在管理平臺中，使得整個系統(tǒng)具有很強的可擴展性。H3C iMC智能管理平臺不僅可以實現(xiàn)H3C全線數(shù)據(jù)通信產(chǎn)品的管理，也可通過標(biāo)準(zhǔn)mib實現(xiàn)對Cisco、等各主流廠商的數(shù)據(jù)通信設(shè)備管理。所包含的主要功能有：操作員登錄管理管理員通過制定登錄安全策略約束操作員的登錄鑒權(quán)，實現(xiàn)操作員登錄的安全性，通過訪問控制模板約束操作員可以登錄的終端機器的IP地址范圍，避免惡意嘗試另人密碼進(jìn)行登錄的行為存在，通過密碼控制策略，約束操作員密碼組成要求，包括密碼長度、密碼復(fù)雜性要求、密碼有效期等，以約束操作員定期修改密碼，并對密碼復(fù)雜性按要求設(shè)置。分組分級權(quán)限管理管理員通過設(shè)備分組、用戶分組的設(shè)置，可以為操作員指定可以管理的指定設(shè)備分組和用戶分組，并指定其管理權(quán)限和角色，包括管理員、維護員和查看員，實現(xiàn)按角色、分權(quán)限、分資源（設(shè)備和用戶）的多層權(quán)限控制；同時通過設(shè)置下級網(wǎng)絡(luò)管理權(quán)限，可以通過限制登錄下級網(wǎng)絡(luò)管理系統(tǒng)的操作員和密碼，保證訪問下級網(wǎng)絡(luò)管理系統(tǒng)的安全性。提供豐富的查詢條件，管理員可以審計任何操作員的歷史操作記錄，界定網(wǎng)絡(luò)操作錯誤的責(zé)任范圍。. 資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。通過資源管理可以：網(wǎng)絡(luò)自動發(fā)現(xiàn)可以通過設(shè)置種子的簡易方式、路由方式、ARP方式、IPSec VPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)?，自動識別包括：路由器、交換機、安全網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機、UPS、服務(wù)器、PC在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備；?多種自動發(fā)現(xiàn)方式?自動識別多種設(shè)備類型網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實現(xiàn)整個網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，包括：支持對設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實時告警狀態(tài)、設(shè)備和接口的實時性能狀態(tài)、實時檢測存在故障的設(shè)備等，用戶可以方便的實現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對H3C、CISCO、等主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號；支持設(shè)備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ?、ACL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過對設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；. 拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對整個網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)（具體參見資源管理），并且可以將非SNMP設(shè)備發(fā)現(xiàn)出來，只要設(shè)備可以ping通即可。同時支持自動的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。支持對全網(wǎng)設(shè)備和連接定時輪詢和狀態(tài)刷新，實時了解整個網(wǎng)絡(luò)的運行情況，并且刷新周期是可定制（刷新周期：60～7200秒），同時也支持對多個設(shè)備的刷新周期進(jìn)行批量配置的功能。針對這種情況，H3C iMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?，可對拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個南京藝術(shù)學(xué)院校園大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)洌⒖梢葬槍ν負(fù)洳煌x擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用合適的圖標(biāo)顯示。自動識別各種網(wǎng)絡(luò)設(shè)備和主機的類型H3C iMC可以自動識別H3C、H3C、Cisco、等廠商的設(shè)備、Windows、Solaris的PC和工作站、其他SNMP設(shè)備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示區(qū)分。設(shè)備狀態(tài)、連接