返回
校园网安全接入管理探讨

校园网安全接入管理探讨

ID:21610045

大小:53.00 KB

页数:5页

时间:2018-10-23

校园网安全接入管理探讨_第1页
校园网安全接入管理探讨_第2页
校园网安全接入管理探讨_第3页
校园网安全接入管理探讨_第4页
校园网安全接入管理探讨_第5页
资源描述:

《校园网安全接入管理探讨》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、校园网安全接入管理探讨摘要:校园X历经十多年的发展,其建X目标、X络覆盖范围、X络架构、互联X出口、X络管理手段均发生了深刻变化。随着X络应用的发展,X络管理已从设备的管理发展到X络应用的管理,信息安全已从X络的安全发展到应用安全的管理,原有管理措施已经无法满足校园X需求。本文基于交换机E2ES功能,分析当前高校校园X中存在的广播风暴、环路、常见病毒、ARP地址欺骗、P2P应用滥用等管理难题,探讨如何通过在用户X络接入实施安全策略,构筑接入安全防御系统。  关键词:校园X病毒X络安全P2P防御系统  :TP393.18:A:1007

2、-9416(2011)04-0136-01    随着高校校园X快速发展、规模不断的扩大,高校学生对X络知识、X络应用软件应用工具的强烈探索欲望,原有X络结构已突显出安全的漏洞,校园内的X络时时刻刻都受到来自X络的威胁,这些无预警的突发事件,常让X络管理者措手不及。如何做好事先预防,建立一道终端安全防御体系尤为重要。南京林业大学在部分学生宿舍试点采用端点防护功能解决方案,成功构建了终端安全防御系统。  如何做好X络安全管理,我们根据将学校经常面临且具有代表性的X络问题分为五大类:    1、广播风暴  学生宿舍X络管理一直是管理的难

3、题及管理的重点。如VLAN该如何划分?VLAN划分太细致使X络管理员不易于管理,VLAN划分粗了又容易造成大量的广播风暴,导致X络无法正常使用利用率下降。一般来说,交换机都会在端口启用抑制广播风暴功能,如发生超过一定流量的广播包,该端口将被立刻阻断,并每隔几分钟侦测广播风暴是否存在,当侦测广播流量下降到预设值以下后开启端口。    2、非法私接宽带路由器  在校园X日常维护时我们经常会遇到这样一种故障现象:客户端突然获得不该它得到的IP地址,原因很简单有用户私接路由器时误用了LAN口,导致其他客户端获得错误的IP信息。上述情况非常普

4、遍,给X络维护带来非常大的工作量。交换机的DHCP服务器屏蔽功能可以彻底解决该难题,在接入交换机上指定信任端口并且在该端口上只允许接收特定DHCP服务器的数据包,当侦测到有非法路由器发送的DHCP数据包时,接入交换机会立刻发送SNMPtrap及log至服务器,快速定位连接非法路由器的接入交换机端口并及时断开该端口。    3、感染蠕虫病毒及木马攻击  校园X用户是以学生为主要群体,他们喜欢尝试各种应用软件;此外,由于学生群体数量大,无法确保每个学生及时安装防病毒软件、防火墙等X络防御工具或实时更新病毒特征库,因此校园X极易遭受X络病

5、毒攻击。  在校园X遭受病毒或木马攻击时,会伴随出现X络流量大、交换机CPU资源耗尽而导致交换机瘫痪并无法远程管理,这时我们需要启用交换机安全防护引擎。管理员可以根据具体环境的特性,设定CPU利用率的上限值,以便交换机在CPU达到该值时,能自动开启CPU安全防护引擎,并在CPU利用率下降到所设定的正常值后,自动解除安全防护,确保交换机的能正常运行维护。    4、X络欺骗行为  ARP欺骗[3]一直是校园X管理者头疼的问题,此外P2Pover(P2P终结者)也是一种典型的欺骗软件,它可以欺骗其它的使用者,限制别人的带宽,自我带宽无上

6、限,该软件还可关闭特定P2P、IM(即时通信)软件,限制特定X站及FTP不能下载等,还有诸如Netcut“X络剪刀手”等欺骗软件。  解决上述问题,我们的做法是在校园X接入交换机采用IP-MAC-Port绑定(IMPB)及DHCP侦听[4](DHCPSnooping)功能防止ARP欺骗,该功能自动将X络客户端IP,MAC,Port做绑定,用户无法自行更改IP或MAC,便无法进行中间人欺骗,还可在每个端口限制MAC学习数目,当超过某端口MAC学习上限,将自动关闭端口,预防ARP攻击,避免交换机的MAC表被写满,而无法正常转发数据;启用

7、交换机IP-MAC-Port绑定及ARPSpoofingPrevention(ARP欺骗防御)功能可成功拦截P2P终结者、X络剪刀手等欺骗软件。    5、P2P滥用  随着X络的发展,各种应用软件不断增加,目前非常流行的P2P系列软件已经成为校园X的主要带宽杀手。这类应用的特点是:通讯流量巨大、种类繁多、无固定的服务端口、协议特征变化迅速,正常的上X行为已经为此受到很大影响,现在问题的关键是这种P2P应用还有进一步发展的趋势,更多的P2P软件工具和应用被开发出来,伴随而来的是在监控系统上看到的不断上涨的校园X带宽占有率。  目前大

8、多数学校采用流控设备、P2P缓存技术、限制单个IP地址带宽及进程数等方式部署在校园X出口,形成P2P应用过滤X[5]。而在接入层交换机启用基于端口及基于流的带宽控制也是不错的解决方案,即在最接近主机的接入层交换机部署第一道P2P防线,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。