龙源期刊网 http://www.qikan.com.cn
校园网安全接入管理探讨
作者:顾炜江 刘兴光
来源:《数字技术与应用》2011年第04期
摘 要:校园网历经十多年的发展,其建网目标、网络覆盖范围、网络架构、互联网出口、网络管理手段均发生了深刻变化。随着网络应用的发展,网络管理已从设备的管理发展到网络应用的管理,信息安全已从网络的安全发展到应用安全的管理,原有管理措施已经无法满足校园网需求。本文基于交换机E2ES功能,分析当前高校校园网中存在的广播风暴、环路、常见病毒、ARP地址欺骗、P2P应用滥用等管理难题,探讨如何通过在用户网络接入实施安全策略,构筑接入安全防御系统。
关键词:校园网 病毒 网络安全 P2P 防御系统
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2011)04-0136-01
随着高校校园网快速发展、规模不断的扩大,高校学生对网络知识、网络应用软件应用工具的强烈探索欲望,原有网络结构已突显出安全的漏洞,校园内的网络时时刻刻都受到来自网络的威胁,这些无预警的突发事件,常让网络管理者措手不及。如何做好事先预防,建立一道终端安全防御体系尤为重要。南京林业大学在部分学生宿舍试点采用端点防护功能解决方案,成功构建了终端安全防御系统。
如何做好网络安全管理,我们根据将学校经常面临且具有代表性的网络问题分为五大类:
1、广播风暴
学生宿舍网络管理一直是管理的难题及管理的重点。如VLAN该如何划分? VLAN划分太细致使网络管理员不易于管理, VLAN划分粗了又容易造成大量的广播风暴,导致网络无法正常使用利用率下降。一般来说,交换机都会在端口启用抑制广播风暴功能,如发生超过一定流量的广播包,该端口将被立刻阻断,并每隔几分钟侦测广播风暴是否存在,当侦测广播流量下降到预设值以下后开启端口。
2、非法私接宽带路由器
龙源期刊网 http://www.qikan.com.cn
在校园网日常维护时我们经常会遇到这样一种故障现象:客户端突然获得不该它得到的IP地址,原因很简单有用户私接路由器时误用了LAN口,导致其他客户端获得错误的IP信息。上述情况非常普遍,给网络维护带来非常大的工作量。交换机的DHCP服务器屏蔽功能可以彻底解决该难题,在接入交换机上指定信任端口并且在该端口上只允许接收特定DHCP服务器的数据包,当侦测到有非法路由器发送的DHCP数据包时,接入交换机会立刻发送SNMP trap及log至服务器,快速定位连接非法路由器的接入交换机端口并及时断开该端口。
3、感染蠕虫病毒及木马攻击
校园网用户是以学生为主要群体,他们喜欢尝试各种应用软件;此外,由于学生群体数量大,无法确保每个学生及时安装防病毒软件、防火墙等网络防御工具或实时更新病毒特征库,因此校园网极易遭受网络病毒攻击。
在校园网遭受病毒或木马攻击时,会伴随出现网络流量大、交换机CPU资源耗尽而导致交换机瘫痪并无法远程管理,这时我们需要启用交换机安全防护引擎。管理员可以根据具体环境的特性,设定CPU利用率的上限值,以便交换机在CPU达到该值时,能自动开启CPU安全防护引擎,并在CPU利用率下降到所设定的正常值后,自动解除安全防护,确保交换机的能正常运行维护。
4、网络欺骗行为
ARP欺骗[3]一直是校园网管理者头疼的问题,此外P2Pover(P2P终结者)也是一种典型的欺骗软件,它可以欺骗其它的使用者,限制别人的带宽,自我带宽无上限,该软件还可关闭特定P2P、IM(即时通信)软件,限制特定网站及FTP不能下载等,还有诸如Netcut“网络剪刀手”等欺骗软件。
解决上述问题,我们的做法是在校园网接入交换机采用IP-MAC-Port绑定(IMPB)及DHCP侦听[4] (DHCP Snooping)功能防止ARP欺骗,该功能自动将网络客户端IP, MAC, Port做绑定,用户无法自行更改IP或MAC,便无法进行中间人欺骗,还可在每个端口限制MAC学习数目,当超过某端口MAC学习上限,将自动关闭端口,预防ARP攻击,避免交换机的MAC表被写满,而无法正常转发数据;启用交换机IP-MAC-Port绑定及ARP Spoofing Prevention (ARP欺骗防御)功能可成功拦截P2P终结者、网络剪刀手等欺骗软件。
5、P2P滥用
龙源期刊网 http://www.qikan.com.cn
随着网络的发展,各种应用软件不断增加,目前非常流行的P2P系列软件已经成为校园网的主要带宽杀手。这类应用的特点是:通讯流量巨大、种类繁多、 无固定的服务端口、协议特征变化迅速,正常的上网行为已经为此受到很大影响,现在问题的关键是这种P2P应用还有进一步发展的趋势,更多的P2P软件工具和应用被开发出来,伴随而来的是在监控系统上看到的不断上涨的校园网带宽占有率。
目前大多数学校采用流控设备、P2P缓存技术、限制单个IP地址带宽及进程数等方式部署在校园网出口,形成P2P应用过滤网[5]。而在接入层交换机启用基于端口及基于流的带宽控制也是不错的解决方案,即在最接近主机的接入层交换机部署第一道P2P防线,限制端口带宽,利用基于流的带宽控制,限制特定IP, MAC or TCP/UDP端口号等的带宽,大大降低了P2P应用对校园网的影响。 6、结语
以上所举常见的五大校园网络问题:“广播风暴”、“非法私接宽带路由器”、“感染蠕虫病毒及木马攻击”、“网络欺骗行为”、“P2P滥用”,都极大的影响高校网络的安全及运维。已被高校所广泛采用的“认证计费网关”设备,在此时更突显出在安全方面的不足,Client/Server(客户端/服务器)架构,还有很多的漏洞及软件兼容性的问题待解决,良好的安全管理必须由下而上,中间缺一不可。本文所述的“端点防护功能”解决方案,解决校园网内很多棘手问题,构建出一套完整的网络终端防御体系。 参考文献
[1] 唐勇.交换机端口环路检测功能的有效性研究[J].重庆工商大学学报,2010(6):267-270. [2] 闫红桥.关于网络蠕虫技术分析研究[J].科技创新导报,2009(9):18.
[3] 宋铮等.校园网内ARP病毒的防御[J].辽宁工业大学学报(社会科学版),2010(4):39-41.