"基于校园网络的核心交换机安全配置"
在高校信息化建设中,校园网的普及程度越来越高,校园网在教学、科研、校内政务管理方面起到了积极的作用。然而,校园网络也面临着各种攻击,包括黑客恶意攻击和无意识攻击。为了保护校园骨干网的正常运行,提高校园网的完全性,我们需要在核心交换机配置防攻击策略。
本方案主要致力于在校园网络中对于核心交换机的安全配置。核心交换机较高的可靠性和性能,不仅保障了骨干网高速转发通信和性能优化,而且通过防防攻击策略,可以提高校园网的安全性。
在核心交换机中,我们主要需要解决以下几个问题:
1. MAC/CAM 攻击防范:交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以播送方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。
2. DHCP 攻击防范:采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、DNS、WINS 等网络参数,随之存在的隐患有 DHCP server 的冒充、DHCP server 的 Dos 攻击、用户随便指定地址而造成网络地址冲突。
3. ARP 攻击防范:ARP 攻击是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP 通信量使网络阻塞,攻击者只要持续小断的发出伪造 ARP 响应包就能更改目标主机 ARP 缓存中的 IP—MAC 条目,造成网络中断或中间人攻击。
为了防范这些攻击,我们可以通过以下几种方法:
1. 通过 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 PortSecurity 可以控制端口上最大可以通过的 MAC 地址数量、端口上学习或通过哪些 MAC 地址、对于超过规定数量的 MAC 处理进行违背处理。
2. 采用 DHCP snooping feature 可以防止 DHCP 攻击。DHCP snooping 是一种安全机制,可以检测和防止 DHCP 服务器的攻击。它可以检测到 DHCP 服务器的欺骗和 Dos 攻击,并对其进行防止。
3. 通过 ARP inspection feature 可以防止 ARP 攻击。ARP inspection 是一种安全机制,可以检测到 ARP 欺骗和 Dos 攻击,并对其进行防止。
在核心交换机配置防攻击策略时,我们需要考虑以下几点:
1. 设备选型:核心交换机应当采用高性能模块化三层交换机,支持交换引擎冗余和关键部件的热插拔。建议选择 Cisco Catalyst 6500-E 系列或锐捷 RG―S8600 系列产品。
2. 网络拓扑结构图:我们需要设计合适的网络拓扑结构图,以确保网络的安全性和可靠性。
3. 平安架构分析:我们需要对核心交换机的平安架构进行分析,以确保核心交换机的安全配置符合要求。
通过以上措施,我们可以确保校园网络的安全性和可靠性,保护校园骨干网的正常运行,提高校园网的完全性。
