论文部分内容阅读
局域网在日常运行维护中,经常受场所、经费、时间、设备等因素制约,不便于部署专用的安全设备,如硬件防火墙、入侵检测、漏洞扫描等设备,特别在当前一些单位缺少网络安全设备的情况下,可通过交换设备自身具有的安全设置功能,实现VLAN划分、终端管理、用户认证、防范内部ARP攻击等,以加固局域网安全,确保在现有条件下的网络顺畅与安全。
1.合理划分VLAN
VLAN(Vitual Local Area Network虚拟局域网)是一种通过将局域网内的设备逻辑地划分成一个个网段,从而实现与物理上形成的LAN相同的属性,是提高网络安全性必不可少的功能。不同的VLAN内的报文传输时是相互隔离的,即一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,设备之间好像在同一个网络间通信一样,从而有助于控制流量、减少投资、简化网络管理、提高网络的安全性。若不同的VLAN间要进行通信,则需要通过路由器或三层交换机等设备进行。
对于典型的树形拓扑结构的局域网络,应根据人员工作分工和数据的敏感程度,规划好VLAN。尽量按照接入终端的性质划分,一般将含有同类业务敏感数据的用户分配到一个VLAN,与网络的其他部分隔离,从而降低泄露机密信息的可能性。如果单位的IP地址足够多的话,应尽可能地按照办公楼、楼层等细分,这样可以控制广播风暴,在一定程度上限制网络病毒的传播,提高局域网日常维护管理效率。
VLAN在交换机上的配置方法,主要分为基于端口、基于MAC地址、基于IP地址三种方法。单位一般都是同类型的部门比较集中,可采用最常用和最便捷的方法,即基于端口划分VLAN。基本步骤:第一步,创建规划所需的VLAN;第二步,进入需配置的端口,设置端口工作模式为Access,将该端口划入对应的VLAN;第三步,设置交换机的互连端口,工作模式为Trunk,端口工作模式为非协商,并封装dot1q协议(各个厂商的产品都支持该通信协议,是为了防止不同厂商的交换机之间不能用默认的协议通信,如果是同一厂商的产品,则不需要进行通信协议的设置),设置Trunk端口允许通过的VLAN。
2.进行IP、MAC、端口绑定
IP、MAC、端口绑定功能主要是限制用户终端设备随意接入网络,既增加了网络的安全性、又减少了IP冲突的可能性。进行IP、MAC、端口绑定,可以实施IP+MAC绑定、端口+MAC绑定以及IP+MAC+端口绑定,比较安全且有效的是后面的三重绑定。这种三重绑定,是应用了交换机的静态FDB(Forwarding DataBase转发表)和IP ACL(访问控制列表)。
交换机中保存着一份FDB,此表是交换机上的端口与MAC地址的对应表,默认情况FDB是动态的,当某条FDB表项超过缺省的老化时间后就会自动从FDB表中删除,以防FDB过于庞大。当连接在此交换机上的客户机发送数据或开机时,FDB就会自动记录下MAC与端口的对应项。如果FDB是静态的,不允许交换机随意地、自动地更改FDB,就实现了MAC地址与端口的固定对应,而不在此对应范围内的客户机则无法收到从交换机来的数据包,使用此种静态FDB就实现了MAC、端口的绑定。使用IP ACL可以拒绝或允许某个IP或某范围内的IP通信,如果将ACL应用到某个端口上,就可以指定通过某个端口的IP是否被拒绝。因此,在端口上做deny类型的IP ACL,就做到了IP、端口的绑定。
在交换机配置中的步骤:首先定义一个MAC地址访问控制列表,再定义MAC地址对应主机可以访问任意主机;其次是定义一个IP地址访问控制列表, 再定义IP地址对应主机可以访问任意主机;最后是在该端口上应用MAC的访问列表和IP地址访问列表。
3.实施802.1X访问控制认证
802.1X认证协议是一种对用户进行认证的方法和策略,达到接受合法用户接入和保护网络安全的目的,目前已经被集成到二层智能交换机中,用于完成对用户的接入安全审核。在简单的网络环境下,通过开启交换机802.1X认证功能、终端上启用802.1X客户端、架设802.1X服务器端共三步实现。
第一步,在交换机上配置802.1X。根据交换机的说明书,主要按照以下顺序配置,开启802.1X特性→开启端口的802.1X特性→创建RADIUS方案并设置RADIUS服务器地址→设置系统与RADIUS服务器交互报文时的密码→设置系统向RADIUS服务器重发报文的时间间隔与次数等。
第二步,终端启用802.1X客户端。一种是使用Windows XP自带的客户端,另一种是使用第三方客户端。第三方客户端安装完成后,使用简单明了,直接运行即可。若使用Windows XP自带的802.1X客户端,则先启动Wireless Zero Configuration服务,再在“本地连接”属性中,选择“身份验证”,选中“启用IEEE 802.1X身份验证”,并将身份验证方法选为“MD5-质询”,完成后,将终端接入开启了802.1X特性的端口,WindowsXP右下角会弹出提示框,输入Radius服务器配置的账号信息登录。
第三步,架设802.1X服务器端。通常涉及的是Windows平台,找一台普通的服务器,选用软件Winradius作为服务端,按照软件使用说明,进行简单配置。最后添加登录认证的账号与密码等信息,一个简单实用的802.1X用户认证环境就建立了。
4.启用交换机防ARP攻击功能
ARP协议对于网络来说是一把双刃剑,一方面ARP协议是网络通信中不可或缺的协议,在一定程度上决定了数据的传输路径;另一方面,容易被攻击者利用,实施ARP欺骗和攻击。对此,可以启用交换机的防ARP攻击功能,防止黑客或攻击者通过ARP 报文实施欺骗行为。
对在接入层交换机上实施安全防御策略的,首先要区分两种情况:如果是动态分配IP地址,则在交换机上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口;如果是静态分配IP地址,则在交换机上配置对应的IP静态绑定表项。其次,在交换机对应VLAN上开启ARP入侵检测功能,并配置该交换机的上行口为ARP信任端口。再次,在交换机的直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
对启用了如前所述的802.1X认证模式的,则在接入交换机上开启DHCP Snooping功能,并配置信任端口,然后在Radius服务器上手工设置IP+MAC+Port三重绑定。
1.合理划分VLAN
VLAN(Vitual Local Area Network虚拟局域网)是一种通过将局域网内的设备逻辑地划分成一个个网段,从而实现与物理上形成的LAN相同的属性,是提高网络安全性必不可少的功能。不同的VLAN内的报文传输时是相互隔离的,即一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,设备之间好像在同一个网络间通信一样,从而有助于控制流量、减少投资、简化网络管理、提高网络的安全性。若不同的VLAN间要进行通信,则需要通过路由器或三层交换机等设备进行。
对于典型的树形拓扑结构的局域网络,应根据人员工作分工和数据的敏感程度,规划好VLAN。尽量按照接入终端的性质划分,一般将含有同类业务敏感数据的用户分配到一个VLAN,与网络的其他部分隔离,从而降低泄露机密信息的可能性。如果单位的IP地址足够多的话,应尽可能地按照办公楼、楼层等细分,这样可以控制广播风暴,在一定程度上限制网络病毒的传播,提高局域网日常维护管理效率。
VLAN在交换机上的配置方法,主要分为基于端口、基于MAC地址、基于IP地址三种方法。单位一般都是同类型的部门比较集中,可采用最常用和最便捷的方法,即基于端口划分VLAN。基本步骤:第一步,创建规划所需的VLAN;第二步,进入需配置的端口,设置端口工作模式为Access,将该端口划入对应的VLAN;第三步,设置交换机的互连端口,工作模式为Trunk,端口工作模式为非协商,并封装dot1q协议(各个厂商的产品都支持该通信协议,是为了防止不同厂商的交换机之间不能用默认的协议通信,如果是同一厂商的产品,则不需要进行通信协议的设置),设置Trunk端口允许通过的VLAN。
2.进行IP、MAC、端口绑定
IP、MAC、端口绑定功能主要是限制用户终端设备随意接入网络,既增加了网络的安全性、又减少了IP冲突的可能性。进行IP、MAC、端口绑定,可以实施IP+MAC绑定、端口+MAC绑定以及IP+MAC+端口绑定,比较安全且有效的是后面的三重绑定。这种三重绑定,是应用了交换机的静态FDB(Forwarding DataBase转发表)和IP ACL(访问控制列表)。
交换机中保存着一份FDB,此表是交换机上的端口与MAC地址的对应表,默认情况FDB是动态的,当某条FDB表项超过缺省的老化时间后就会自动从FDB表中删除,以防FDB过于庞大。当连接在此交换机上的客户机发送数据或开机时,FDB就会自动记录下MAC与端口的对应项。如果FDB是静态的,不允许交换机随意地、自动地更改FDB,就实现了MAC地址与端口的固定对应,而不在此对应范围内的客户机则无法收到从交换机来的数据包,使用此种静态FDB就实现了MAC、端口的绑定。使用IP ACL可以拒绝或允许某个IP或某范围内的IP通信,如果将ACL应用到某个端口上,就可以指定通过某个端口的IP是否被拒绝。因此,在端口上做deny类型的IP ACL,就做到了IP、端口的绑定。
在交换机配置中的步骤:首先定义一个MAC地址访问控制列表,再定义MAC地址对应主机可以访问任意主机;其次是定义一个IP地址访问控制列表, 再定义IP地址对应主机可以访问任意主机;最后是在该端口上应用MAC的访问列表和IP地址访问列表。
3.实施802.1X访问控制认证
802.1X认证协议是一种对用户进行认证的方法和策略,达到接受合法用户接入和保护网络安全的目的,目前已经被集成到二层智能交换机中,用于完成对用户的接入安全审核。在简单的网络环境下,通过开启交换机802.1X认证功能、终端上启用802.1X客户端、架设802.1X服务器端共三步实现。
第一步,在交换机上配置802.1X。根据交换机的说明书,主要按照以下顺序配置,开启802.1X特性→开启端口的802.1X特性→创建RADIUS方案并设置RADIUS服务器地址→设置系统与RADIUS服务器交互报文时的密码→设置系统向RADIUS服务器重发报文的时间间隔与次数等。
第二步,终端启用802.1X客户端。一种是使用Windows XP自带的客户端,另一种是使用第三方客户端。第三方客户端安装完成后,使用简单明了,直接运行即可。若使用Windows XP自带的802.1X客户端,则先启动Wireless Zero Configuration服务,再在“本地连接”属性中,选择“身份验证”,选中“启用IEEE 802.1X身份验证”,并将身份验证方法选为“MD5-质询”,完成后,将终端接入开启了802.1X特性的端口,WindowsXP右下角会弹出提示框,输入Radius服务器配置的账号信息登录。
第三步,架设802.1X服务器端。通常涉及的是Windows平台,找一台普通的服务器,选用软件Winradius作为服务端,按照软件使用说明,进行简单配置。最后添加登录认证的账号与密码等信息,一个简单实用的802.1X用户认证环境就建立了。
4.启用交换机防ARP攻击功能
ARP协议对于网络来说是一把双刃剑,一方面ARP协议是网络通信中不可或缺的协议,在一定程度上决定了数据的传输路径;另一方面,容易被攻击者利用,实施ARP欺骗和攻击。对此,可以启用交换机的防ARP攻击功能,防止黑客或攻击者通过ARP 报文实施欺骗行为。
对在接入层交换机上实施安全防御策略的,首先要区分两种情况:如果是动态分配IP地址,则在交换机上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口;如果是静态分配IP地址,则在交换机上配置对应的IP静态绑定表项。其次,在交换机对应VLAN上开启ARP入侵检测功能,并配置该交换机的上行口为ARP信任端口。再次,在交换机的直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
对启用了如前所述的802.1X认证模式的,则在接入交换机上开启DHCP Snooping功能,并配置信任端口,然后在Radius服务器上手工设置IP+MAC+Port三重绑定。