學(xué)校宿舍網(wǎng)絡(luò)安全探究

1、0. 前言 如今，校園宿舍網(wǎng)呈現(xiàn)用戶多且密度大、網(wǎng)絡(luò)節(jié)點(diǎn)多、難以管理的特點(diǎn)。宿舍網(wǎng)的用戶相對其他網(wǎng)絡(luò) 的用戶分布要密集很多，而眾多用戶與不同宿舍樓之間的網(wǎng)絡(luò)連接結(jié)構(gòu)相似，但節(jié)點(diǎn)甚至比辦公大樓、實(shí) 驗(yàn)室等其他區(qū)域的網(wǎng)絡(luò)節(jié)點(diǎn)還要多，管理起來工作量大。同時(shí)，不容忽視的是，學(xué)校擁有一大批活躍、求 知欲強(qiáng)的學(xué)生用戶，因此IP地址盜用等現(xiàn)象頻頻發(fā)生。在傳統(tǒng)的IP和MAC地址綁定、流量計(jì)費(fèi)的運(yùn)營管理模式下，為了防止IP地址盜用現(xiàn)象，將大量IP和MAC地址綁定，不僅加大了服務(wù)中心工作人員的工作 量，甚至造成了超負(fù)荷工作，工作人員對此有很大意見；同時(shí)，用戶對不能正常使用網(wǎng)絡(luò)的抱怨也時(shí)有發(fā) 生。各種原因交織在一起

2、最終導(dǎo)致了管理難的問題。因此，我們一直在尋找由難到易的宿舍網(wǎng)運(yùn)營計(jì)費(fèi)認(rèn) 證管理辦法，需要它營造出一種方便、實(shí)用、快捷、易于管理的網(wǎng)絡(luò)環(huán)境。同時(shí)，由于宿舍區(qū)網(wǎng)絡(luò)使用者知識能力等所限，被病毒、木馬等威脅的實(shí)例也層出不窮，例如：局域 網(wǎng)爆發(fā)ARP病毒，具體表現(xiàn)為局域網(wǎng)內(nèi)一些正在上網(wǎng)的電腦主機(jī)頻繁掉線或是斷線。這是因?yàn)榫钟蚓W(wǎng)內(nèi)有 電腦運(yùn)行ARP欺騙程序（比如：傳奇、 QQ盜號的軟件等）發(fā)送 ARP數(shù)據(jù)包，致使被攻擊的電腦不能上網(wǎng)。 為了有效防范宿舍區(qū)內(nèi)病毒等的發(fā)生與蔓延，有必要認(rèn)真研究解決對策。1. 宿舍網(wǎng)絡(luò)安全簡介 隨著網(wǎng)絡(luò)的快速發(fā)展和上網(wǎng)用戶的急劇增多，網(wǎng)絡(luò)中的不安全因素日益暴露無遺，主要表現(xiàn)在：

3、1）由于IP和MAC地址的可變性而導(dǎo)致的冒用合法用戶入網(wǎng)問題。非法用戶只要連接網(wǎng)線，對電腦進(jìn)簡單的網(wǎng)絡(luò)配置就可以上網(wǎng)。由于IP和MAC盜用會導(dǎo)致合法用戶不能上網(wǎng)，甚至非法入網(wǎng)者會以合法用戶的名義從事非法勾當(dāng)，對網(wǎng)絡(luò)的安全管理造成很大的威脅；2） 操作系統(tǒng)和應(yīng)用軟件存在大量漏洞，這是造成網(wǎng)絡(luò)安全問題的嚴(yán)峻的一個(gè)主要原因。 國際權(quán)威應(yīng)急 組織CERT/CC統(tǒng)計(jì)，截至2004年以來漏洞公布總數(shù) 16726個(gè)，并且利用漏洞發(fā)動攻擊的速度也越來越快；3）校園網(wǎng)用戶安全意識不強(qiáng)及計(jì)算機(jī)水平有限。大部分學(xué)校普遍都存在重技術(shù)、輕安全、輕管理的傾 向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬事大吉，甚至有些

4、學(xué)校直接連接互聯(lián)網(wǎng)，嚴(yán)重缺乏 防范黑客攻擊的意識。學(xué)生宿舍網(wǎng)作為服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與Internet 互聯(lián)。宿舍網(wǎng)連接的校內(nèi)學(xué)生機(jī)，存在許多安全隱患，主要表現(xiàn)有：1）宿舍網(wǎng)與 Internet 相連，面臨著外網(wǎng)攻擊的風(fēng)險(xiǎn)。2）來自內(nèi)部的安全威脅。3）接入宿舍網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，這些節(jié)點(diǎn)會面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問題。 通過對宿舍網(wǎng)的安全設(shè)計(jì)，在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障宿舍網(wǎng)絡(luò)安全一個(gè)整體一致的內(nèi)網(wǎng)安全體系，應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面，并且，這 四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動的

5、統(tǒng)一平臺，才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ)，不確認(rèn)實(shí)體的身份，進(jìn)一步制定各種安全管理策略也就無從談起。 內(nèi)網(wǎng)的身份認(rèn)證，必須全面考慮所有參與實(shí)體的身份確認(rèn)，包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其 中，客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注，因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的，其主要對內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)，確定誰能夠 在那些計(jì)算機(jī)終端或者服務(wù)器使用什么樣的資源和權(quán)限。授權(quán)管理的信息資源應(yīng)該盡可能全面，應(yīng)該包括 終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲設(shè)備資源等。數(shù)據(jù)保密是內(nèi)網(wǎng)

6、信息安全的核心，其實(shí)質(zhì)是要對內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理，構(gòu) 建信息和數(shù)據(jù)安全可控的使用、 存儲和交換環(huán)境， 從而實(shí)現(xiàn)對內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權(quán)的保護(hù)。 由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣，所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。監(jiān)控審計(jì)是宿舍網(wǎng)絡(luò)安全不可缺少的輔助部分，可以實(shí)現(xiàn)對宿舍網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控，提供宿舍 網(wǎng)絡(luò)安全狀態(tài)的評估報(bào)告，并在發(fā)生宿舍網(wǎng)絡(luò)安全事件后實(shí)現(xiàn)有效的取證。宿舍網(wǎng)絡(luò)安全已經(jīng)成為信息安全的新熱點(diǎn)，其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中，我們有理由相信， 隨著同學(xué)們對宿舍網(wǎng)絡(luò)安全認(rèn)識的加深，用戶宿舍網(wǎng)絡(luò)安全管理制度的完善，整體一致的宿舍網(wǎng)安

7、全解決 方案和體系建設(shè)將成為宿舍網(wǎng)安全的主要發(fā)展趨勢。宿舍內(nèi)部網(wǎng)絡(luò)安全經(jīng)常會發(fā)生IP盜用現(xiàn)象，惡意修改MA（地址，嚴(yán)重危害了正常的上網(wǎng)秩序，下面我們先從網(wǎng)卡開始探討網(wǎng)絡(luò)的安全問題。2. 網(wǎng)卡2.1 網(wǎng)卡的基本構(gòu)造 網(wǎng)卡包括硬件和固件程式（只讀存儲器中的軟件例程），該固件程式實(shí)現(xiàn)邏輯鏈路控制和媒體訪問控制的功能，還記錄唯一的硬件地址即MAC地址。網(wǎng)卡上一般有緩存。網(wǎng)卡須分配中斷IRQ及基本I/O端口地址，同時(shí)還須配置基本內(nèi)存地址（ base memory address ）和收發(fā)器（ transceiver ），主要由網(wǎng)卡的控 制芯片、晶體震蕩器、 BOOTf槽、EPROM內(nèi)接式轉(zhuǎn)換器、RJ-4

8、5和BNC接頭、信號指示燈等部分。網(wǎng)卡的控制芯片是網(wǎng)卡中最重要元件，是網(wǎng)卡的控制中央，有如電腦的CPU空制著整個(gè)網(wǎng)卡的工作，負(fù)責(zé)數(shù)據(jù)的的傳送和連接時(shí)的信號偵測。早期的 10/100m 的雙速網(wǎng)卡會采用兩個(gè)控制芯片（單元）分別用 來控制兩個(gè)不同速率環(huán)境下的運(yùn)算，而現(xiàn)在較先進(jìn)的產(chǎn)品通常只有一個(gè)芯片控制兩種速度。內(nèi)接式轉(zhuǎn)換器只要有 BNC接頭的網(wǎng)卡都會有這個(gè)芯片，并緊鄰在BNC接頭旁，它的功能是在網(wǎng)卡和 BNC 接頭之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換，讓網(wǎng)卡能通過它從BNC接頭送出或接收資料。信號指示燈在網(wǎng)卡后方會有二到三個(gè)不等的信號燈，其作用是顯示現(xiàn)在網(wǎng)絡(luò)的連線狀態(tài)，通常具備TX和RX兩個(gè)信息。TX代表正在送出資料

9、，RX代表正在接收資料，若看到兩個(gè)燈同時(shí)亮則代表現(xiàn)在是處于全 雙工的運(yùn)作狀態(tài)，也可由此來辨別全雙工的網(wǎng)卡是否處于全雙工的網(wǎng)絡(luò)環(huán)境中部分。2.2 網(wǎng)卡的工作原理網(wǎng)卡的主要工作原理是整理計(jì)算機(jī)上發(fā)往網(wǎng)線上的數(shù)據(jù)，并將數(shù)據(jù)分解為適當(dāng)大小的數(shù)據(jù)包之后向網(wǎng) 絡(luò)上發(fā)送出去。對于網(wǎng)卡而言，每塊網(wǎng)卡都有一個(gè)唯一的網(wǎng)絡(luò)節(jié)點(diǎn)地址，它是網(wǎng)卡生產(chǎn)廠家在生產(chǎn)時(shí)燒入 RO（只讀存儲芯片）中的，我們把它叫做MAC地址（物理地址），且保證絕對不會重復(fù)。發(fā)送數(shù)據(jù)時(shí)，網(wǎng)卡首先偵聽介質(zhì)上是否有載波（載波由電壓指示），如果有，則認(rèn)為其他站點(diǎn)正在傳送信息，繼續(xù)偵聽介 質(zhì)。一旦通信介質(zhì)在一定時(shí)間段內(nèi)（稱為幀間縫隙 IFG=9.6 微秒）

10、是安靜的，即沒有被其他站點(diǎn)占用，則 開始進(jìn)行幀數(shù)據(jù)發(fā)送，同時(shí)繼續(xù)偵聽通信介質(zhì)，以檢測沖突。在發(fā)送數(shù)據(jù)期間, 如果檢測到?jīng)_突，則立即停止該次發(fā)送，并向介質(zhì)發(fā)送一個(gè)阻塞信號，告知其他站點(diǎn)已經(jīng)發(fā)生沖突，從而丟棄那些可能一直在接收的 受到損壞的幀數(shù)據(jù)，并等待一段隨機(jī)時(shí)間（CSMA/CD確定等待時(shí)間的算法是二進(jìn)制指數(shù)退避算法）。在等待一段隨機(jī)時(shí)間后，再進(jìn)行新的發(fā)送。接收時(shí)，網(wǎng)卡瀏覽介質(zhì)上傳輸?shù)拿總€(gè)幀，如果其長度小于64字節(jié)，則認(rèn)為是沖突碎片。如果接收到的幀不是沖突碎片且目的地址是本地地址，則對幀進(jìn)行完整性校驗(yàn)，如果 幀長度大于1518字節(jié)（稱為超長幀，可能由錯(cuò)誤的LAN驅(qū)動程序或干擾造成）或未能通過CR

11、C校驗(yàn)，則認(rèn)為該幀發(fā)生了畸變。通過校驗(yàn)的幀被認(rèn)為是有效的，網(wǎng)卡將它接收下來進(jìn)行本地處理。2.3 網(wǎng)卡的工作模式及功能1. 工作模式分為以下四種：1）廣播模式（Broad Cast Model）:它的物理地址（MAC地址是OXffffff的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。2）多播傳送（ MultiCast Model ）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí) 接收，而組外主機(jī)卻接收不到。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員3） 直接模式（Direct Model ）:工作在直接模式下的網(wǎng)卡只接收目地址是自己MAC地

12、址的幀。4）混雜模式（ Promiscuous Model） : 工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀，信包捕獲程 序就是在這種模式下運(yùn)行的。網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自 己的幀。如果采用混雜模式，一個(gè)站點(diǎn)的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包這樣就可以到達(dá) 對于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。比如，可以實(shí)施遠(yuǎn)程掃描來確定一塊網(wǎng)卡是否工作在混雜模式。象AntiSniff 這樣的程序使用三種主要的方法來檢測網(wǎng)卡是否工作于混雜模式：1. 檢測網(wǎng)卡電子方面的變化來確定網(wǎng)卡的工作模式。2. 發(fā)送各種包（ARP請求，ICMP包，DNS請求，TCP SYN fl

13、oods，等等）。如果從某臺主機(jī)返回的包 等待了一段不正常的時(shí)間，而且沒有被主機(jī)處理過的跡象，則程序便推斷出該主機(jī)的網(wǎng)卡可能出于混雜模式。3將錯(cuò)誤的ICMP請求包含在無效的以太網(wǎng)地址頭中。所有沒有工作在混雜模式的系統(tǒng)將忽略這些請求，而那些回復(fù)錯(cuò)誤的ICMP請求的主機(jī)將有可能出于混雜模式。像 AntiSniff 這樣的程序通過推論來判斷網(wǎng)卡是否工作在混雜模式。由于這些程序只是根據(jù)有限的數(shù) 據(jù)來下結(jié)論，所以容易出現(xiàn)誤報(bào)。通常明智的做法是定時(shí)進(jìn)行混雜模式檢測的掃描。例如，L0pht 包含其自身的調(diào)度。使用 WindwosNT Scheduler或UNIX的cron程序，你可以自動實(shí)施所有掃描。LOp

14、ht還提供的UNIX版本的AntiSniff 。然而你需要編譯它，并且只能運(yùn)行在FreeBSD和Solaris 操作系統(tǒng)下。2.4 MAC地址的簡介1. 什么是MAC地址網(wǎng)卡的身份證號 MAC地址,也叫物理地址、硬件地址或鏈路地址,由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部。他是識別網(wǎng)卡身份的標(biāo)志！MAC!址的長度為48位（6個(gè)字節(jié)），通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用冒號隔開，如:08:00:20:0A:8C:6D就是一個(gè)MAC地址,其中前6位16進(jìn)制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE （電氣與電子工程師協(xié)會）分配 ，而后3位16進(jìn)制數(shù) 0A:8C:6D代表該制

15、造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。2. MAC地址的應(yīng)用MAC1址主要用于與網(wǎng)絡(luò)服務(wù)商提供的IP地址、端口以及用戶提供的信息等綁定，防止其他人盜用.學(xué)校里面的校園網(wǎng)就是這樣的！但是MAC是可以改變的！3. 查看MAC地址在輸入cmd（引號里面部分）進(jìn)入命令提示符狀態(tài)然后輸入IPconfig /all 其中Physical Address就是計(jì)算機(jī)的 MAC地址。4. 更改MAC地址一般MAC地址在網(wǎng)卡中是固定的， 當(dāng)然也有網(wǎng)絡(luò)高手會想辦法去修改自己的MAC地址。修改自己的MAC地址有兩種方法，一種是硬件修改，另外一種是

16、軟件修改。硬件的方法就是直接對網(wǎng)卡進(jìn) 行操作，修改保存在網(wǎng)卡的EPROM!面的MAC地址，通過網(wǎng)卡生產(chǎn)廠家提供的修改程序可以更改存儲器里的地址。當(dāng)然軟件修改的方法就相對來說要簡單得多了，在Windows中，網(wǎng)卡的MAC保存在注冊表中，實(shí)際使用也是從注冊表中提取的，所以只要修改注冊表就可以改變MAC。2.5 IP與MAC勺綁定例如局域網(wǎng)某一用戶的IP地址為：192.168.1.11 ,MAC地址為：00-11-2F-3F-96-88在命令提示符下輸入 IPconfig /all 顯示如下信息 :在命令行下輸入： arp -s 192.168.1.11 00-11-2F-3F-96-88回車就綁定

17、了。查看是否綁定：在命令行下輸入 arp -a 192.168.1.11 回車，會得到如下提示：Internet Address Physical Address Type192.168.1.30 00-11-2f-3f-96-88 static就是成功完成了。ARP命令僅對局域網(wǎng)的上網(wǎng)代理服務(wù)器有用，而且是針對靜態(tài)IP地址，如果采用 Modem撥號上網(wǎng)或是 動態(tài) IP 地址就不起作用。不過，只是簡單地綁定IP和MAC地址是不能完全的解決IP盜用問題的。設(shè)計(jì)一個(gè)好的網(wǎng)絡(luò)，我們有 責(zé)任為用戶解決好這些問題之的后，才交給用戶使用，而不是把安全問題交給用戶來解決。不應(yīng)該讓用戶 來承擔(dān)一些不必要盜用的

18、損失。所以在網(wǎng)絡(luò)安全方面，最常用也是最有效的解決方法就是在IP、MAC綁定的基礎(chǔ)上，再把端口綁定進(jìn)去，即IP -MAC- PORT三者綁定在一起，端口（ PORT指的是交換機(jī)的端口。下面我們將針對此問題對交換機(jī)展開研究。3. 交換機(jī)3.1什么是交換機(jī)交換機(jī)是一種基于 MAC（網(wǎng)卡的硬件地址）識別，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng) 絡(luò)設(shè)備。交換機(jī)可以學(xué)習(xí) MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之 間建立臨時(shí)的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。3.2 交換機(jī)的種類按照不同的分類方法，交換機(jī)有很多種分類。如按工作方式可分為二層交換機(jī)，三 層交換機(jī)，多層交換機(jī)；從

19、廣義上來看，交換機(jī)分為兩種：廣域網(wǎng)交換機(jī)和局域網(wǎng)交換機(jī)。廣域網(wǎng)交換機(jī) 主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺。而局域網(wǎng)交換機(jī)則應(yīng)用于局域網(wǎng)絡(luò)，用于連接終端設(shè)備， 如PC機(jī)及網(wǎng)絡(luò)打印機(jī)等。3.3 交換機(jī)的工作原理1、 共享與交換數(shù)據(jù)傳輸技術(shù)要明白交換機(jī)的優(yōu)點(diǎn)我們首先就必須明白交換機(jī)的基本工作原理，而交換機(jī)的工作原理其實(shí)最根本的是要理解共享（Share）和交換（Switch ）這兩個(gè)概念。集線器是采用共享方式進(jìn)行數(shù)據(jù)傳輸?shù)?，而我們在這里要講的交換機(jī)工作原理則是采用交換方式進(jìn)行數(shù)據(jù)傳輸?shù)摹Ｔ诮粨Q機(jī)技術(shù) 上把這種獨(dú)享道寬（網(wǎng)絡(luò)上稱之為帶寬）情況稱之為交換，這種網(wǎng)絡(luò)環(huán)境稱為交換式網(wǎng)絡(luò)，交換式網(wǎng)絡(luò)必須采

20、用交換機(jī)（Switch ）來實(shí)現(xiàn)。交換式網(wǎng)絡(luò)可以是全雙工（ Full Duplex）狀態(tài)，即可以同時(shí)接收和發(fā)送 數(shù)據(jù)，數(shù)據(jù)流是雙向的。而集線器的共享方式的網(wǎng)絡(luò)就稱之為共享式網(wǎng)絡(luò)，共享式網(wǎng)絡(luò)采用集線器（集線 器）作為網(wǎng)絡(luò)連接設(shè)備。顯然，共享網(wǎng)絡(luò)的效率非常低，在任一時(shí)刻只能有一個(gè)方向的數(shù)據(jù)流，即處于半 雙工（ Half Duplex ）模式，也稱為單工模式。2、 數(shù)據(jù)傳遞的方式對于交換機(jī)而言，它能夠認(rèn)識連接到自己身上的每一臺電腦，憑什么認(rèn)識呢？就是憑每塊網(wǎng)卡物理地址，俗稱 MAC地址。交換機(jī)還具有 MAC!址學(xué)習(xí)功能，它會把連接到自己身上的MAC!址記住，形成一個(gè)節(jié)點(diǎn)與 MAC地址對應(yīng)表。憑這樣一

21、張表，它就不必再進(jìn)行廣播了，從一個(gè)端口發(fā)過來的數(shù)據(jù)，其中會含有目的地的 MAC地址，交換機(jī)在保存在自己緩存中的MAC地址表里尋找與這個(gè)數(shù)據(jù)包中包含的目的MAC地址對應(yīng)的節(jié)點(diǎn)，找到以后，便在這兩個(gè)節(jié)點(diǎn)間架起了一條臨時(shí)性的專用數(shù)據(jù)傳輸通道，這 兩個(gè)節(jié)點(diǎn)便可以不受干擾地進(jìn)行通信了。3、 交換機(jī)的數(shù)據(jù)傳遞工作原理可以簡單地這樣來說明：當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)以太網(wǎng)幀后， 將立即在其內(nèi)存中的地址表（端口號 MAC地址）進(jìn)行查找，以確認(rèn)該目的 MAC勺網(wǎng)卡連接在哪一個(gè)節(jié)點(diǎn)上， 然后將該幀轉(zhuǎn)發(fā)至該節(jié)點(diǎn)。如果在地址表中沒有找到該 MAC地址，也就是說，該目的MA（地址是首次出現(xiàn)， 交換機(jī)就將數(shù)據(jù)包廣播到所有

22、節(jié)點(diǎn)。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后，將立即做出應(yīng)答，從而使交換機(jī)將其節(jié)點(diǎn)的 MAC地址添加到MAC地址表中。換言之，當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)幀時(shí)（廣播幀除外），將對地址表執(zhí)行兩個(gè)動作， 一是檢查該幀的源 MAC地址是否已在地址表中， 如果沒有，則將該MAC 地址加到地址表中，這樣以后就知道該MAC地址在哪一個(gè)節(jié)點(diǎn)；二是檢查該幀的目的MAC1址是否已在地址表中，如果該 MAC地址已在地址表中，則將該幀發(fā)送到對應(yīng)的節(jié)點(diǎn)即可，而不必像集線器那樣將該幀發(fā) 送到所有節(jié)點(diǎn)，只須將該幀發(fā)送到對應(yīng)的節(jié)點(diǎn)，從而使那些既非源節(jié)點(diǎn)又非目的節(jié)點(diǎn)的節(jié)點(diǎn)間仍然可以進(jìn) 行相互間的通信，從而提供了比集線器更高的

23、傳輸速率。如果該MAC地址不在地址表中，則將該幀發(fā)送到所有其它節(jié)點(diǎn)（源節(jié)點(diǎn)除外），相當(dāng)于該幀是一個(gè)廣播幀。交換機(jī)根據(jù)以太網(wǎng)幀中的源MAC地址來更新地址表。當(dāng)一臺計(jì)算機(jī)打開電源后，安裝在該系統(tǒng)中的網(wǎng)卡會定期發(fā)出空閑包或信號，交換機(jī)即可據(jù)此得知它的存在以及其MAC地址。由于交換機(jī)能夠自動根據(jù)收到的以太網(wǎng)幀中的源 MAC地址更新地址表的內(nèi)容，所以交換機(jī)使用的時(shí)間越長，學(xué)到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限，能夠記憶的 MAC地址數(shù)量也是有限的。既然不能無休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機(jī)制。事實(shí)上，為交換機(jī)設(shè)定

24、了一個(gè)自動老化時(shí)間(Auto aging )，若某MAC地址在一定時(shí)間內(nèi)(默認(rèn)為300秒)不再出現(xiàn)，那么，交換機(jī)將自動把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí)，將會被當(dāng)作新地址處理。3.4可網(wǎng)管交換機(jī) VLAN技術(shù)VLAN即虛擬局域網(wǎng)(Virtual Local Area Network的縮寫)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。先來了解

25、一下交換機(jī)是如何使用 VLA N分割廣播域的首先，在一臺未設(shè)置任何 VLA N的二層交換機(jī)上， 任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口(Flooding )。例如，計(jì)算機(jī) A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口 2、 3、4。交換機(jī)收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN同時(shí)設(shè)置端口 1、2屬于紅色VLAN端口 3、4屬于藍(lán)色VLAN再從A發(fā)出廣播幀的話，交換機(jī)就只 會把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口也就是同屬于紅色VLAN的端口 2，不會再轉(zhuǎn)發(fā)給屬于藍(lán)色 VLAN的端口。同樣，C發(fā)送廣播信息時(shí)，只會被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLA N的端

26、口，不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。如果要更為直觀地描述 VLA N的話，我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。在一臺交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN也可以看作是將一臺交換機(jī)換做一紅一藍(lán)兩臺虛擬的交換機(jī)(如上圖) 。3.5 MAC和交換機(jī)端口的綁定在了解了交換機(jī)的基本知識之后，我們來在交換機(jī)上尋求一種防止盜號 上網(wǎng)的方法將網(wǎng)卡的 MAC地址與交換機(jī)的端口綁定，從在交換機(jī)上遏制盜號上網(wǎng)的現(xiàn)象。我們以思科的交 換機(jī)為例。switch#config t/ 進(jìn)入到全局配置模式 switch ( config ) #int f0/1/ 進(jìn)入到 0/1 號端口 switch(conf

27、ig-if ) #switchport mode access/ 設(shè)置交換機(jī)的端口模式為 access 模式，注意缺省是dynamic/dynamic 模式下是不能使用 Port-security 功能 switch ( config-if ) #switchport port-security/ 打開 port-security 功能 switch ( config-if ) #switchport port-security MAC-address xxxx.xxxx.xxxx/xxxx.xxxx.xxxx就是你要關(guān)聯(lián)的 MAC地址。隨著移動辦公及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需

28、要對用戶的接入進(jìn)行控制和配置。尤 其是WLAN勺應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實(shí)現(xiàn)用戶級的接入控制， 802.lx 就是IEEE為了解決基于端口的接入控制(Port-Based Network Access Contro1)而定義的一個(gè)標(biāo)準(zhǔn)。4.802.1x 認(rèn)證技術(shù)簡介4.1弓I言802.1X協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早

29、期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。4.2 802.1x 協(xié)議簡介 802.1x 協(xié)議是基于 Client/Server 的訪問控制和認(rèn)證協(xié)議?？梢韵拗莆唇?jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問 LAN/WLAN在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交 換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。它具有完備的 用戶認(rèn)證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營和管理要求，對寬帶IP 城域網(wǎng)等電信級網(wǎng)絡(luò)的運(yùn)營和管理具

30、有優(yōu)勢。 IEEE802.1x 協(xié)議對認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng) PPPO罰 WEB/PORTA認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實(shí)體）。在訪問控制流程中，端口訪問實(shí)體包含3部分：認(rèn)證者- 對接入的用戶 /設(shè)備進(jìn)行認(rèn)證的端口；請求者 - 被認(rèn)證的用戶 /設(shè)備；認(rèn)證服務(wù)器 - 根據(jù)認(rèn)證者的 信息，對請求訪問網(wǎng)絡(luò)資源的用戶 /設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。4.3 802.1x 認(rèn)證體系 802.1x 是一種基于端口的認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口， 也可以是一個(gè)邏輯端口 （如VLAN）。對

31、于無線局域網(wǎng)來說，一個(gè)端口就是一個(gè)信道。802.1x 認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對于一個(gè)端口，如果認(rèn)證成功那么就打開這個(gè)端口， 允許所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口保關(guān)閉，即只允許802.1x 的認(rèn)證協(xié)議報(bào)文通過。802.1x 認(rèn)證體系分為請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分：（1）請求者系統(tǒng)請求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對其進(jìn)行認(rèn) 證。請求者通常是支持 802.1x 認(rèn)證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起 802.lx 認(rèn)證，后文的 認(rèn)證請求者和客戶端二者表達(dá)相同含義。（2）認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對連接到鏈路對端的認(rèn)證請求者進(jìn)

32、行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.lx 協(xié)議的網(wǎng)絡(luò)設(shè)備， 它為請求者提供服務(wù)端口， 該端口可以是物理端口也可以是邏輯端口， 一般在用戶接入設(shè)備 （如 LAN Switch和AP）上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。（3）認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。 請求者和認(rèn)證系統(tǒng)之間運(yùn)行 802.1x 定義的 EAPO（Extensible Authentication Protocolover LAN）協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EA

33、P幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中（如RADIUS），以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器； 當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議（如RADIUS），傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時(shí)保證接收認(rèn)證請求者發(fā)出的EAPoL認(rèn)證報(bào)文；受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。4.4 802.1x 認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的 802.1x 協(xié)議有如下特點(diǎn)： IEEE802.1x 協(xié)議為二層協(xié)議，不需要到達(dá)三層，

34、對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1X的認(rèn)證體系結(jié)構(gòu)中采用了 可控端口 和不可控端口 的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可 控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署 的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級到不同的VLAN可以使交換端口和無線 LAN具有安全的認(rèn)證接入功能。4.5 8

35、02.1x認(rèn)證流程基于802.1X的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5EAP-TLS, EAP-SIM, EAP-TTLS以及EAP-AKA 等認(rèn)證方法。以EAP-MD5為例，描述802.1X的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對用戶的認(rèn) 證，但認(rèn)證過程不支持加密密鑰的生成。(1) 客戶端向接入設(shè)備發(fā)送一個(gè) EAPoL-Start 報(bào)文， 開始 802.1X 認(rèn)證接入； (2) 接

36、入設(shè)備向客戶端發(fā) 送 EAP-Request/Identity 報(bào)文，要求客戶端將用戶名送上來； (3) 客戶端回應(yīng)一個(gè) EAP-Response/Identity 給接入設(shè)備的請求，其中包括用戶名； (4) 接入設(shè)備將 EAP-Response/Identity 報(bào)文封裝到 RADIUS Access-Request 報(bào)文中，發(fā)送給認(rèn)證服務(wù)器； (5) 認(rèn)證服務(wù)器產(chǎn)生一個(gè) Challenge ，通過接入設(shè)備將 RADIUS Access-Challenge 報(bào)文發(fā)送給客戶端，其中包含有 EAP-Request/MD5-Challenge ； (6) 接入設(shè)備通過 EAP-Request/MD

37、5-Challenge 發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證； (7) 客戶端收到EAP-Request/MD5-Challenge 報(bào)文后，將密碼和 Challenge 做 MD5算法后的 Challenged-Pass-word ，在 EAP-Response/MD5-Challenge 回應(yīng)給接入設(shè)備； (8) 接入設(shè)備將 Challenge ， Challenged Password 和用 戶名一起送到RADIUS服務(wù)器，由RADIUS!務(wù)器進(jìn)行認(rèn)證；(9) RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法， 判斷用戶是否合法，然后回應(yīng)認(rèn)證成功 /失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以

38、及用戶的相關(guān) 業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束；(10)如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可 以是DHCP Relay)，通過接入設(shè)備獲取規(guī)劃的IP地址；(11)如果認(rèn)證通過，接入設(shè)備發(fā)起計(jì)費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)器；(12) RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請求報(bào)文。用戶上線完畢。4.6 802.1X 配置先配置 switch 到 radius server 的通訊全局啟用 802.1X 身份驗(yàn)證功能 Switch# configure terminalSwitch(config)# aaa new-modelSwitch(config)# aaa

39、authentication dot1X default method1method2.指定 radius 服務(wù)器和密鑰 switch(config)#radius-server host IP_add key string2、在 port 上起用 802.1XSwitch# configure terminalSwitch(config)# interface fastethernet0/1Switch(config-if)# switchport mode accessSwitch(config-if)# dot1X port-control autoSwitch(config-if)#

40、end配置關(guān)鍵點(diǎn)：1、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)端口號和RADIUS服務(wù)器一致；2、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)加密密碼與 RADIUS服務(wù)器一致；3、要是RADIUS服務(wù)器非直連，那么要保證RADIUS服務(wù)器與交換機(jī)是路由可達(dá)的。有些時(shí)候， 即使我們做了一系列的防范工作， 還會有一些病毒和木馬對我們的網(wǎng)絡(luò)安全工作帶來威脅。 這就需要我們了解病毒等的基本知識，運(yùn)用一些防火墻或殺毒軟件阻止和消滅它們。5. 病毒、木馬、防火墻 5.1 計(jì)算機(jī)病毒及特點(diǎn)計(jì)算機(jī)病毒是一種人為編寫的程序。是指編制或者在計(jì) 算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或

41、者程 序代碼。其過程可分為：程序設(shè)計(jì) - 傳播-潛伏- 觸發(fā)、運(yùn)行 - 實(shí)行攻擊。計(jì)算機(jī)病毒的特點(diǎn)有傳染性、 隱蔽性、潛伏性、破壞性。5.2 計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳播途徑主要有： 通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；利 用欺騙等社會工程的方法傳播。5.3 防火墻與查殺軟件防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流 入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻 擊，以免其在目

42、標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通 信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以 將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己 的保護(hù)選擇。防火墻有不同類型。 一個(gè)防火墻可以是硬件自身的一部分， 你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。 防火墻也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直 接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟 件。