■王春莲

基于交换机的校园网络安全防御技术

■王春莲

引言

随着校园网网络应用和网络业务需求的不断增长，随着网络技术的不断发展，早期的网络结构逐渐暴露出一系列严重问题，使得网络的整体性能、稳定性和安全性都不容乐观，急需优化改造。本文重点研究交换机校园网络安全防御技术。

在校园网络实际环境中，攻击和欺骗行为主要针对链路层和网络层，其来源可概括为两个途径：人为实施；病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理账户和相关密码，在网络上安插木马，从而进一步窃取机密文件。

基于交换机校园网络安全防御技术

使用Port Security feature防范MAC/CAM攻击

MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，攻击者可以利用各种嗅探攻击获取网络信息。CAM表填满后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

交换机Port Security feature可以防止MAC和MAC/CAM攻击。通过配置Port Security可以控制：端口上学习通过哪些IP地址或MAC地址；端口上学习的最大MAC地址数。交换机Port Security特性采取两种操作，即Bind（绑定，允许）和Block（阻塞，禁止），这条命令是配置在端口上的，只对进入端口的数据包有效。除了Port Security，采用DAI技术也可以防范MAC地址泛滥攻击。

DHCP Snooping防范技术

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。DHCP Snooping技术不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测Dynamic ARP Inspection（DAI）和IP Source Guard使用。

首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP报文，对于已经申请到IP地址的设备在租用期内（网卡不断电的话）不会再次发起DHCP请求。为了解决这个问题，可以定时把DHCP Snooping binding信息上传到指定TFTP服务器。

Dynamic ARP Inspection防范技术

ARP用来实现MAC地址和IP地址的绑定，由于ARP无任何身份真实校验机制，攻击主机通过黑客程序发送ARP欺骗报文告诉请求某个IP地址的主机一个错误的MAC地址，随后使得网络流量流向恶意攻击者的主机，因此攻击主机变成某个局域网段IP会话的中间人，造成窃取甚至篡改正常数据传输的后果。

DAI在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

结束语

综上所述，通过配置交换机网络趋于稳定，不仅解决了一些典型攻击和病毒的防范问题，也为传统IP地址管理提供了新的思路。使用DHCP Snooping、DAI、IP Source Guard技术能解决大部分网络上存在的攻击、欺骗行为，因为大多数对局域网危害较大的网络病毒都具有典型的特征：IP/MAC、ARP、DHCP欺骗和快速的发包扫描，大量的组播、广播报文，等等。采用上述技术很大程度上可以自动切断病毒源，及时报警，并准确定位病毒源。■

[1]韩伟.谈高校校园网网络安全及对策[J].电脑知识与技术,2010(12)

[2]李浩.高校校园网网络安全分析及对策研究[J].电脑学习,2009(5):12-14

[3]谢惠琴.校园网安全防范技术研究[J].福建电脑,2009(9):60-61

[4]钟平.构建基于主动防御的动态校园网络安全模型[J].网络安全技术与应用,2008(11):43-45

（作者单位：德州职业技术学院计算机系）

10.3969/j.issn.1671-489X.2011.14.052