校园网内部网络安全的防范 网络安全知识
【摘要】本文根据校园网的安全需求,给出了校园网安全的解决方法。主要从ARP攻击的防范,蠕虫病毒的防范两个方面进行了论述。 【关键词】校园网;网络安全;安全分析;网络防范;安全技术
校园网的普及和近年来的迅猛发展,对学校实现管理网络化和教学手段现代化,提高学校的管理水平和教学质量,丰富师生业余生活,发挥了积极的作用。但是,校园网具有开放性、互联性和共享性的特点,因此不可避免地受到病毒、黑客、恶意软件和其他不轨行为的安全威胁和攻击,校园网数据丢失、系统被攻击修改、网络瘫痪的事情时有发生。尤其值得注意的是,高校校园网内部有些人员的计算机相关技术水平非常高,甚至超乎管理人员的想象,据统计80%对校园网的攻击来自于校园网内部。高校校园网的安全环境可以用“内外交迫”来形容。在这种情况下,如何构建高校校园网安全屏障,保证网络的安全、稳定、高效地运行,同时又能提供丰富的网络资源,达到办公、教学以及学生上网的多种需求成为高校必须面对的问题。
1.ARP攻击的防范
(1)静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp-s可以实现“arp–s IP MAC地址”。
例如:“arp–s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp-a可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
虽然双绑是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。
(2)交换机配置DHCP
近两年的接入交换机增加了ARP入侵检测功能,在交换机上配置DHCP Snooping可以有效地识别合法ARP报文。
开启ARP入侵检测功能后,如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的ARP报文,进行转发;否则认为是非法ARP报文,直接丢弃。
(3)运用VLAN技术
VLAN是虚拟局域网英文(VirtualLocal Area NetWork)的缩写。所谓VLAN是指处于不同物理位置的节点组成一个逻辑子网。借助于智能管理软件建立基于MAC的VLAN,每一个交换机端口只连接一个终端,当网络出现未定义的MAC地址,交换机可按预先设定的方式报警。不在VLAN的IP范围内的计算机,不能进行通信。根据不同的应用业务以及安全级别,将网络分段并进行隔离,控制广播组的大小和位置,甚至锁定网络成员的MAC地址,实现相互间的访问控制,达到限制用户非法访问的目的。
(4)寻找病毒源
交换机做好端口镜像设置,部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。用Ethereal抓包工具使用Snifer抓包嗅探法,当局域网中有ARP病毒欺骗时,会伴随着大量的ARP欺骗广播数据包,这时流量检测机制能够检测出网络的异常举动,并实时监控着来自全网的ARP数据包。当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但其MAC地址是其他电脑的MAC地址时,可以确定发生了ARP欺骗。再根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,查出中毒主机。
2.蠕虫病毒的防范
蠕虫病毒对网络设备的冲击形式主要有两种:
①堵塞带宽,导致服务不可用;
②占用CPU资源,导致宕机,红色代码、Slammer、冲击波等蠕虫病毒不停地扫描IP地址,在很短时间内就占用大量的带宽资源,造成网络出口堵塞。
因此对应的方法有:
①在路由器端口进行流量控制,将流量限制在一定的范围内;
②采用软件技术,如杀毒软件;
③在边界路由器上进行访问控制ACL的配置,防止病毒的传播。
采用软件技术,如安装360杀毒软件,及时更新病毒库,可有效地防御内网的病毒传播。同时下载最新的系统漏洞补丁,并对重要的文件进行备份,防止系统崩溃后文件的丢失。
3.结束语
通过在学校网络安全问题的研究,发现目前校园网络确存在着课题上所提到的种种隐患,服务器存在众多漏洞,VLAN划分不明确,容易遭到内部网络攻击,Arp病毒也经常作乱。通过这次课题的研究,还是希望校园网络的防范措施应该做好,对于学校的正常教学和对网络的应用可以达到最大化,达到理想的效果。
参考文献
[1]穆勇,李培信.防御!网络攻击内幕剖析[M].人民邮电出版社.
[2]Rick graziani allan johnson.CCNA Exploration.思科网络技术学院教程[M].人民邮电出版社.
[3]王建平.网络安全与管理[M].西北工业大学出版社.
栏目最新:
- 2022公文如何写成美文:用好四知、四问...2022-11-21
- 2022年1.8万字爆款通讯“美文”,究竟“...2022-10-30
- 名家美文摘抄2022-10-02
- 2022年公文如何写成美文:用好四知、四...2022-08-18
- 钓鱼协会工作小结_2020-04-16
- ug8.0安装方法 来往下载安装方法2020-03-20
- 怎么注册来往账号 [阿里巴巴来往账号注...2020-03-20
- 易信的功能 [易信有哪些功能?] 2020-03-20
- 新浪微博塞班客户端如何更换预览模式?...2020-03-20
- 易信电话留言如何使用:易信电话显示什么...2020-03-20
相关文章:
- [2018交通银行河南分行春季校园招聘公告【86人】]2018交通银行江苏分行校园招聘
- 2018年民航三亚空管站招聘公告_民航三亚空管站
- 宝宝几岁学英语比较好?|宝宝几岁学英语比较好
- 【小学三四年级体育教案三篇】 小学四年级体育教案
- 小学生家庭教育心得体会【关于小学生家庭教育心得体会【三篇】】
- 【最热的个人工作总结心得体会精选】 普通员工个人总结简短
- 初一逃课检讨书:自我反省检讨书1000字
- 2018年黑龙江黑河中考政治真题:2018黑龙江黑河房价
- 钱堆里的男孩读后感:钱堆里的男孩读后感300
- [2018广东深圳市龙华墩背小学诚聘教师公告【语文、英语】] 广东省深圳市龙华新区墩背社区
- 2018年四川注册计量师报名费用及网上缴费时间:4月12日-5月12日_2018四川二级计量师