校园网内部网络安全的防范 网络安全知识

　　【摘要】本文根据校园网的安全需求，给出了校园网安全的解决方法。主要从ARP攻击的防范，蠕虫病毒的防范两个方面进行了论述。　　【关键词】校园网；网络安全；安全分析；网络防范；安全技术
　　校园网的普及和近年来的迅猛发展，对学校实现管理网络化和教学手段现代化，提高学校的管理水平和教学质量，丰富师生业余生活，发挥了积极的作用。但是，校园网具有开放性、互联性和共享性的特点，因此不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击，校园网数据丢失、系统被攻击修改、网络瘫痪的事情时有发生。尤其值得注意的是，高校校园网内部有些人员的计算机相关技术水平非常高，甚至超乎管理人员的想象，据统计80%对校园网的攻击来自于校园网内部。高校校园网的安全环境可以用“内外交迫”来形容。在这种情况下，如何构建高校校园网安全屏障，保证网络的安全、稳定、高效地运行，同时又能提供丰富的网络资源，达到办公、教学以及学生上网的多种需求成为高校必须面对的问题。
　　1.ARP攻击的防范
　　（1）静态绑定
　　最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。
　　欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。
　　方法：
　　对每台主机进行IP和MAC地址静态绑定。
　　通过命令，arp-s可以实现“arp–s IP MAC地址”。
　　例如：“arp–s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
　　如果设置成功会在PC上面通过执行arp-a可以看到相关的提示：
　　Internet Address Physical Address Type
　　192.168.10.1 AA-AA-AA-AA-AA-AA static（静态）
　　在动态的情况下：
　　Internet Address Physical Address Type
　　192.168.10.1 AA-AA-AA-AA-AA-AA dynamic（动态）
　　虽然双绑是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。
　　（2）交换机配置DHCP
　　近两年的接入交换机增加了ARP入侵检测功能，在交换机上配置DHCP Snooping可以有效地识别合法ARP报文。
　　开启ARP入侵检测功能后，如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致，则认为该报文是合法的ARP报文，进行转发；否则认为是非法ARP报文，直接丢弃。
　　（3）运用VLAN技术
　　VLAN是虚拟局域网英文（VirtualLocal Area NetWork）的缩写。所谓VLAN是指处于不同物理位置的节点组成一个逻辑子网。借助于智能管理软件建立基于MAC的VLAN，每一个交换机端口只连接一个终端，当网络出现未定义的MAC地址，交换机可按预先设定的方式报警。不在VLAN的IP范围内的计算机，不能进行通信。根据不同的应用业务以及安全级别，将网络分段并进行隔离，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，实现相互间的访问控制，达到限制用户非法访问的目的。
　　（4）寻找病毒源
　　交换机做好端口镜像设置，部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。用Ethereal抓包工具使用Snifer抓包嗅探法，当局域网中有ARP病毒欺骗时，会伴随着大量的ARP欺骗广播数据包，这时流量检测机制能够检测出网络的异常举动，并实时监控着来自全网的ARP数据包。当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但其MAC地址是其他电脑的MAC地址时，可以确定发生了ARP欺骗。再根据网络正常时候的IP-MAC地址对照表查询该电脑，定位出其IP地址，查出中毒主机。
　　2.蠕虫病毒的防范
　　蠕虫病毒对网络设备的冲击形式主要有两种：
　　①堵塞带宽，导致服务不可用；
　　②占用CPU资源，导致宕机，红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的带宽资源，造成网络出口堵塞。
　　因此对应的方法有：
　　①在路由器端口进行流量控制，将流量限制在一定的范围内；
　　②采用软件技术，如杀毒软件；
　　③在边界路由器上进行访问控制ACL的配置，防止病毒的传播。
　　采用软件技术，如安装360杀毒软件，及时更新病毒库，可有效地防御内网的病毒传播。同时下载最新的系统漏洞补丁，并对重要的文件进行备份，防止系统崩溃后文件的丢失。
　　3.结束语
　　通过在学校网络安全问题的研究，发现目前校园网络确存在着课题上所提到的种种隐患，服务器存在众多漏洞，VLAN划分不明确，容易遭到内部网络攻击，Arp病毒也经常作乱。通过这次课题的研究，还是希望校园网络的防范措施应该做好，对于学校的正常教学和对网络的应用可以达到最大化，达到理想的效果。
　　参考文献
　　[1]穆勇，李培信.防御！网络攻击内幕剖析[M].人民邮电出版社.
　　[2]Rick graziani allan johnson.CCNA Exploration.思科网络技术学院教程[M].人民邮电出版社.
　　[3]王建平.网络安全与管理[M].西北工业大学出版社.

推荐访问:网络安全 校园网 防范