XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)

XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第1頁。XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第1頁。設(shè)備級(jí)安全功能設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性，網(wǎng)絡(luò)中的核心層交換機(jī)需要具備關(guān)鍵的可靠性技術(shù)：可靠性指標(biāo)必須達(dá)到99.99%。所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備無源背板，采用無源器件的背板，可靠性更高。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。為避免因病毒、蠕蟲等引起的網(wǎng)絡(luò)泛洪對(duì)網(wǎng)絡(luò)設(shè)備造成CPU升高等影響網(wǎng)絡(luò)的情況出現(xiàn)，所有設(shè)備應(yīng)具備CPU保護(hù)技術(shù)來避免異常流量和攻擊流量對(duì)設(shè)備可靠性的威脅。安全策略部署透明，不影響設(shè)備和網(wǎng)絡(luò)性能，不影響業(yè)務(wù)和用戶體驗(yàn)基于上述要求，選擇的核心交換機(jī)支持多種硬件的安全防護(hù)技術(shù)，主要包括：引擎切換數(shù)據(jù)不間斷轉(zhuǎn)發(fā)、電源冗余、業(yè)務(wù)模塊熱插拔、防Dos攻擊、防掃描、防源IP地址欺騙、SPOH、CPP、LPM+HDR等。通過采用專門針對(duì)攻擊手段設(shè)計(jì)的ASIC芯片針對(duì)網(wǎng)絡(luò)中的各種攻擊進(jìn)行安全的防護(hù)，保證在處理安全問題的同時(shí)依然不影響網(wǎng)絡(luò)正常數(shù)據(jù)的轉(zhuǎn)發(fā)。建議選擇的全系列交換機(jī)具備的硬件CPU保護(hù)功能（CPP）可實(shí)現(xiàn)對(duì)CPU的自動(dòng)硬件防護(hù)機(jī)制，保證設(shè)備不會(huì)因?yàn)閰f(xié)議攻擊而宕機(jī)。同時(shí)交換機(jī)上具備的SPOH技術(shù)（基于硬件的同步式處理），在線卡的每個(gè)端口上利用FFP硬件進(jìn)行安全防護(hù)和智能保障，各端口可以同步地、不影響整機(jī)性能地進(jìn)行硬件處理。最長(zhǎng)匹配（LPM）技術(shù)解決了“流精確匹配”的缺點(diǎn)，支持一個(gè)網(wǎng)段使用一個(gè)硬件轉(zhuǎn)發(fā)表項(xiàng)，杜絕了攻擊和病毒對(duì)硬件存儲(chǔ)空間的危害。HDR拋棄了傳統(tǒng)方式CPU參與“一次路由”的效率影響，在路由轉(zhuǎn)發(fā)前形成路由表項(xiàng)，避免了攻擊和病毒對(duì)CPU利用率的危害。LPM+HDR技術(shù)的結(jié)合不僅極大地提升了路由效率，而且保障設(shè)備在病毒和攻擊環(huán)境下的穩(wěn)定運(yùn)行。防ARP攻擊設(shè)計(jì)作為攻擊源的主機(jī)偽造一個(gè)ARP數(shù)據(jù)包，此ARP包中的IP與MAC地址對(duì)同真實(shí)的IP與MAC對(duì)應(yīng)關(guān)系不同，此偽造的ARP包發(fā)送出去后，網(wǎng)內(nèi)其它主機(jī)根據(jù)收到的ARP包中的SENDER’S字段，ARP緩存被更新，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備的ARP緩存中特定IP被關(guān)聯(lián)到錯(cuò)誤的MAC地址，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備訪問特定IP的數(shù)據(jù)包將不能被發(fā)送到真實(shí)的目的主機(jī)或網(wǎng)關(guān)，目的主機(jī)或網(wǎng)關(guān)不能被正常訪問。防ARP欺騙設(shè)計(jì)在宿舍區(qū)接入交換機(jī)上開啟ARP-CHECK功能，提取ACE中的IP+MAC資源，形成新的ACEXX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第2頁。資源（ARP報(bào)文過濾），對(duì)經(jīng)過交換機(jī)的ARP報(bào)文進(jìn)行檢驗(yàn)，對(duì)交換機(jī)綁定表中存在的ARP表項(xiàng)進(jìn)行放行，對(duì)非法的ARP報(bào)文直接丟棄，從而實(shí)現(xiàn)防ARPXX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第2頁。交換機(jī)IP防掃描設(shè)計(jì)眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開始的，大量的掃描報(bào)文也急劇占用了網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進(jìn)行。而且，互聯(lián)網(wǎng)上掃描的工具多如牛毛。為此，方案中的三層核心交換機(jī)提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，以減輕三層交換機(jī)的CPU負(fù)擔(dān)。目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址不斷變化的掃描，“scandestipattack”。這種掃描攻擊是最危害網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)的負(fù)擔(dān)，更是大部分黑客攻擊手段的起手工具。目的IP地址不存在的掃描，“samedestipattack”。這種攻擊主要是通過增加交換機(jī)CPU的負(fù)擔(dān)來實(shí)現(xiàn)的。對(duì)三層交換機(jī)來說，如果目的IP地址存在，則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過交換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源；而如果目的IP地址不存在，那么交換機(jī)CPU會(huì)定時(shí)去嘗試連接，如果存在大量的這種嘗試連接，也會(huì)消耗CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多了。以上這兩種攻擊，核心交換機(jī)都可以通過在接口上調(diào)整相應(yīng)的攻擊閥值、攻擊主機(jī)隔離時(shí)間等參數(shù)，來減輕其對(duì)網(wǎng)絡(luò)的影響。另外，還可以根據(jù)網(wǎng)絡(luò)中可監(jiān)控的主機(jī)數(shù)，在全局模式下設(shè)置可監(jiān)控攻擊主機(jī)的最大值，以達(dá)到更好地保護(hù)系統(tǒng)的要求。防DOS/DDOS攻擊近年來，各種DoS攻擊（DenialofService，拒絕服務(wù)）報(bào)文在互聯(lián)網(wǎng)上傳播，給互聯(lián)網(wǎng)用戶帶來很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。攻擊報(bào)文主要采用偽裝源IP以防暴露其蹤跡。針對(duì)這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過濾（IngressFilting），來限制偽裝源IP的報(bào)文進(jìn)入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防止DoS的發(fā)生，因而具有較好效果。使用這種過濾也能夠幫助ISP和網(wǎng)管來準(zhǔn)確定位使用真實(shí)有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報(bào)文攻擊進(jìn)入Internet；企業(yè)（校園網(wǎng)）的網(wǎng)管應(yīng)該執(zhí)行過濾來確保企業(yè)網(wǎng)不會(huì)成為此類攻擊的發(fā)源地。交換機(jī)采用基于RFC2827的入口過濾規(guī)則來防止DoS攻擊，這種過濾是通過自動(dòng)生成特定的ACL來實(shí)現(xiàn)，該過濾采用硬件實(shí)現(xiàn)而不會(huì)給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。路由安全設(shè)計(jì)（1）路由認(rèn)證和保護(hù)XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第3頁。路由認(rèn)證（RoutingAuthenticationXX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第3頁。任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新，由于設(shè)備無法證實(shí)這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。認(rèn)證過程有基于明文的，也有基于更安全的MD5校驗(yàn)。MD5認(rèn)證與明文認(rèn)證的過程類似，只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用MD5算法產(chǎn)生一個(gè)密鑰的“消息摘要”。這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。為了保證路由協(xié)議的安全，在路由協(xié)議配置時(shí)必須配置OSPF的認(rèn)證，建議采用MD5認(rèn)證。（2）關(guān)閉IP功能服務(wù)有些IP特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。IP源路由選項(xiàng)開關(guān)在IP路由技術(shù)中，通常一個(gè)IP報(bào)文總是沿著網(wǎng)絡(luò)中的每個(gè)路由器所選擇的路徑上轉(zhuǎn)發(fā)分組。IP協(xié)議中提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達(dá)目的地的過程中，把該路由記錄下來。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。重定向開關(guān)網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。ICMP協(xié)議的功能開關(guān)很多常見的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第4頁。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用ICMPXX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第4頁。對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的ICMP消息處理，以減少ICMP對(duì)網(wǎng)絡(luò)安全的影響。設(shè)備管理安全設(shè)計(jì)（1）只開放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對(duì)象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。（2）網(wǎng)絡(luò)管理認(rèn)證 管理員認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集中認(rèn)證為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無法訪問的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，同時(shí)在設(shè)備上建立本地用戶數(shù)據(jù)庫，在Radius服務(wù)器不可用的情況下，使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證。在VTY和Console接口上啟用管理認(rèn)證，認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。（3）Telnet接入安全TELNET是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對(duì)設(shè)備進(jìn)行最為有效的操作，為了確保TELNET訪問的合法性和安全性，我們需要注意：1.設(shè)置最大會(huì)話連接數(shù)；2.設(shè)置訪問控制列表，限制TELNET的連接請(qǐng)求來自指定的源IP網(wǎng)段；3.盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。（4）SNMP安全通過SNMP可以對(duì)設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點(diǎn)：1.避免使用缺省的snmpcommunity，設(shè)置高質(zhì)量的口令；2.不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；3.把只讀snmpcommunity和可讀寫snmpcommunity區(qū)分開來；4.配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的IP地址。匯聚嵌入式安全面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅，要求操作系統(tǒng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，網(wǎng)絡(luò)硬件不僅提供了基于SPOH技術(shù)的ACL功能，而且還支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第5頁。等能力，從設(shè)XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第5頁。因此對(duì)于局域網(wǎng)中，建議如下部署：在核心匯聚部署支持防源IP地址欺騙（SouceIPSpoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。接入安全控制在接入部署ACL，對(duì)沖擊波、蠕蟲等病毒進(jìn)行防范已經(jīng)生成數(shù)BPDU攻擊、MAC攻擊等二層攻擊，使有害數(shù)據(jù)包在接入就被過濾。要求接入交換機(jī)具備完善的QoS以及強(qiáng)大的安全接入控制能力。具體要求如下：二至四層線速轉(zhuǎn)發(fā)，二至七層智能識(shí)別：硬件全線速實(shí)現(xiàn)路由、ACL、QOS、帶寬限制，全面提升用戶體驗(yàn)；硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定：不需要第三方設(shè)備或軟件，僅通過設(shè)定訪問交換機(jī)上某個(gè)端口的用戶MAC地址和IP，就可硬件實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的用戶輸入，有效防止非法用戶的接入。有效杜絕非法組播源：支持IGMP源端口檢查功能，以及支持IGMP源IP檢查功能，有效地杜絕非法的組播源播放非法的組播信息，更好地提高了網(wǎng)絡(luò)的安全性。極靈活的基于流的帶寬控制能力：具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)靈活精細(xì)的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，帶寬限制粒度達(dá)64Kbps，支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、以及不同業(yè)務(wù)所需要的服務(wù)質(zhì)量特性，提供差異化服務(wù)完善的QoS：RG-S29E支持完善的QOS，以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；強(qiáng)大的安全接入控制能力：硬件本身即可實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，另外和配合寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)可實(shí)現(xiàn)用戶帳號(hào)與IP、MAC、交換機(jī)IP、端口、VlanID多元素的復(fù)合綁定。保證用戶身份的合法性和唯一性，可以有效的避免IP地址沖突、帳號(hào)盜用等問題發(fā)生。通過PVLAN即可隔離用戶信息互通：采用保護(hù)端口（即將該端口設(shè)為保護(hù)端口）實(shí)現(xiàn)端口之間相互隔離，不必占用VLAN資源。采用保護(hù)端口即保證用戶信息安全，又節(jié)約VLAN資源，同時(shí)不必再修改VLAN配置，大大提高維護(hù)效率。多端口同步監(jiān)控MSPAN：通過一個(gè)端口可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，有效提高監(jiān)測(cè)效率。IP+MAC+端口綁定學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，要求接入交換機(jī)可以實(shí)現(xiàn)端口IP+MAC地址的綁定關(guān)系，可以支持基于MAC地址的802.1X認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第6頁。防止病毒廣播泛洪XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第6頁。要求接入交換機(jī)可實(shí)現(xiàn)廣播報(bào)文的計(jì)數(shù)累計(jì)功能，往往一臺(tái)主機(jī)受病毒時(shí)會(huì)發(fā)出大量的廣播報(bào)文，交換機(jī)可實(shí)現(xiàn)對(duì)與進(jìn)入報(bào)文的計(jì)數(shù)累計(jì)，廣播病毒一般會(huì)在短時(shí)間內(nèi)產(chǎn)生大量的廣播包，通過可設(shè)置廣播包的閥值，當(dāng)達(dá)到一定的廣播保文的數(shù)量時(shí)端口可是直接關(guān)閉，確保網(wǎng)絡(luò)的安全、穩(wěn)定。入網(wǎng)用戶身份認(rèn)證基于802.1X的擴(kuò)展的認(rèn)證計(jì)費(fèi)系統(tǒng)在用戶第一次上網(wǎng)就必須認(rèn)證，保證了用戶上網(wǎng)的安全和合法性。防止對(duì)DHCP服務(wù)器攻擊使用DHCPServer動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問題：一是DHCPServer假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會(huì)分發(fā)非法地址給終端用戶，造成用戶無法使用網(wǎng)絡(luò)，；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請(qǐng)IP地址，很快將DHCP的地址池耗光。對(duì)于第一種情況，使用接入交換機(jī)的訪問列表就可以實(shí)現(xiàn)防范：在安全接入交換機(jī)上定義一個(gè)訪問列表，該訪問列表允許目的IP地址為合法DHCP服務(wù)器（或這個(gè)網(wǎng)段的網(wǎng)關(guān)地址，部分三層交換機(jī)在DHCPrelay之后，DHCPsever的地址會(huì)替換成三層SVI的地址）、sourceport為67而destinationport為68的UDP報(bào)文通過。而其它sourceport為67而destinationport為68的UDP報(bào)文拒絕，之后把這個(gè)訪問列表應(yīng)用到上聯(lián)物理端口上。同時(shí)再定義一個(gè)訪問列表，拒絕sourceport為67而destinationport為68的UDP報(bào)文通過，并運(yùn)用在下聯(lián)端口。對(duì)于第二種情況，開啟接入交換機(jī)的端口安全功能就可以實(shí)現(xiàn)防范。在接入交換機(jī)設(shè)置端口安全，可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況設(shè)置，設(shè)置某個(gè)端口下學(xué)習(xí)源MAC的個(gè)數(shù)，一旦學(xué)習(xí)到的源MAC地址大于設(shè)置值，那么數(shù)據(jù)幀就會(huì)在端口丟棄，同時(shí)發(fā)送警告信息通知網(wǎng)管員，或是邏輯上關(guān)閉該端口。如下圖：XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第7頁。XX校園智慧網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)全文共8頁，當(dāng)前為第7頁。而對(duì)于用戶手工設(shè)置靜態(tài)IP地址，造成和已分發(fā)的動(dòng)態(tài)IP地址沖突，可以通過認(rèn)證系統(tǒng)指定用戶只能采用DHCP獲取IP。多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng)IP地址、MAC地址、接入交換機(jī)端口、以及接入交換機(jī)IP、身份信息、是標(biāo)識(shí)網(wǎng)絡(luò)用戶的基本元素，而單一的元素?zé)o法為管理員來標(biāo)識(shí)一個(gè)用戶，而網(wǎng)絡(luò)安全被利用最多還是MAC、IP地址等。MAC地址欺騙將合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，從而達(dá)到隱藏自己真實(shí)的MAC，來達(dá)到一些不可告人的目的，這就是MAC地址欺騙。MAC地址泛洪攻擊交換機(jī)由于交換機(jī)內(nèi)部的MAC地址表空間是有限的，正常情況下，這些MAC地址表是足夠用的，一般情況下，基本不會(huì)發(fā)生MAC地址表被占滿的情況。但如果有人惡意對(duì)這臺(tái)交換機(jī)進(jìn)行MAC地址泛洪攻擊的話，則會(huì)很快占滿交換機(jī)內(nèi)部MAC地址表，使得本來交換機(jī)本來是按單播進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包的，但由于MAC地址表已經(jīng)被占滿了，所有的交換機(jī)的端口都在一個(gè)廣播域里了，因此交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包的機(jī)制變成了廣播了。因此交換機(jī)變成了一個(gè)Hub，因此別的端口可以收到所有的其他端口的數(shù)據(jù)，因此用戶的信息傳輸也沒有安全保障了。IP地址隨意更改手工更改用戶自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網(wǎng)，同時(shí)也將導(dǎo)致整個(gè)網(wǎng)絡(luò)的IP地址管理混亂。非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時(shí)將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，這樣就可以逃避網(wǎng)管的追查，“堂而皇之”的攻擊對(duì)方了。因此根據(jù)以上安全的情況，我們建議采用認(rèn)證系統(tǒng)的綁定功能，對(duì)宿舍網(wǎng)用戶進(jìn)行管理。通過認(rèn)證系統(tǒng)(AA