校园网络管理制度
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇校园网络管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
校园网络管理制度范文第1篇
中图分类号:TP393 文献标识码:A 文章编号:2095-2163(2011)04-0070-02
0 引言
校园网管理是一个复杂的系统工程,涉及到学校各个部门,在学校教学、科研与管理中发挥着越来越重要的作用。近年来,各学校校园网用户数量快速增加,网上各种应用广泛开展,网络流量大幅攀升,都带来了一系列的校园网管理问题。如何快速响应用户需求和解决用户故障,如何提高网络速度,如何保证各项网络应用运行正常,如何保证网络设备正常稳定运行,这些都是校园网管理中需要解决的问题。对校园网进行高效管理,满足学校各项需求已经成为网络中心等校园网管理部门必须完成的任务。
1 合理规划,做好校园网设计
1.1确定明确的校园网建设目标
确定明确的校园网建设的目标,不仅要考虑网络技术方面,更要考虑学校实际环境、应用和管理,还要与学校发展与建设相结合。高校的中心工作是教学科研,因此对教学科研提供直接支持是校园网的基本目标。换言之,校园网需要支持学校的日常办公和行政管理。校园网建设的基本目标应该是建设一个以办公自动化与网络教学科研为核心,技术先进,扩展性强,覆盖全校大部分区域的主干网络。
1.2选用“耐用稳定”的网络硬件设备
网络硬件设备是校园网稳定运行的硬件基础,是校园网运行时间长短的首要决定性因素。网络硬件设备主要包括组成校园网所必需的路由器、交换机、服务器以及综合布线系统。一般来说,高校的网络管理员人数少,力量不足,而维护量比较大。只有网络硬件设备选择好了,校园网长期、高效和稳定的运行才有保障,网络管理员才能把主要精力投入到相对重要的信息资源建设上来,才能在排查网络故障的时候直接跳过网络设备故障因素,从而大大提高故障排除效率。
1.3确定成熟的以人为本的校园网技术方案
校园网设计要采用合乎国际标准的、成熟的技术,并符合网络技术的发展方向。网络设计应层次分明、结构合理,便于使用、管理和维护。另外网络设计要坚持高效实用的原则,着眼于高校教学、科研和管理的实际需要,使有限的资金优先解决工作急需的问题。校园网一般应采用“核心+汇聚+接入”的三层网络结构,在结构上分为核心层、汇聚层、接人层。这样的校园网布局结构清晰,维护容易,扩充方便。稳定性强。每个汇聚交换机下面的区域将成为一个相对独立的网络区域,使得该区域内部的各种攻击只限于本区域,对校园网其他区域不会产生影响。
校园网的设计方案要以人为本,实用、高效、安全并举,通过不同网络管理方式,体现校园人文关怀。校园网设计要把方便师生使用放在第一位,为师生提供便捷舒适的教学科研学习环境,如办公楼、实验楼网络设计时既要考虑有线网,也要兼顾无线网。使用者可以随时随地进入校园网和互联网。
2 建设网管系统和安全防御体系
2.1建设高效率的网管系统
精细化管理是校园网管理的高境界,而要做到精细化管理就必须使用网络管理系统。高效率的网管系统能够明显提高网络管理员的工作效率和管理效果,使网络管理工作更严谨,更科学。网管系统在功能上应该能够实现整个网络结构的拓扑发现,并且监控网络设备的性能情况、链路的使用率、同时实现有线无线统一管理。对校园网不同的设备类型能够用不同的图标区分,通过拓扑图上呈象丰富的设备、告警、流量信息,实时监控网络运行的全貌,便于网络管理员及时关注危险设备,发现问题,提前处理。能够直接在拓扑图上查找用户关注的设备和链路节点,进行点击获取更加详细的信息;网管系统能够将拓扑图保存或者直接导出,便于保存和检索。网管系统还应具有良好的使用界面,便于网络管理员操作。
2.2建设安全防御体系
随着校园网络应用的日益复杂,网络安全风险与日俱增,网络安全事件也不断出现。病毒泛滥、黑客攻击、信息丢失等这些安全隐患对校园网的破坏有时是致命性的。要真正解决网络安全问题,就要通过网络安全技术和网络安全系统来实现。网络安全技术是随着新技术发展而不断发展的。常见的网络安全系统主要包括VPN、防火墙、安全漏洞扫描、安全评估分析、安全审计、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范、补丁分发等。这些系统是网络安全体系中重要的组成部分,缺少任何一种都会存在巨大的危险,因为网络安全防范是一个整体概念。在网络安全体系中,各个系统不能简单地堆砌,而是要合理部署,互联互动,形成一个有机的整体。
校园网是学校信息系统的核心,必须建立有效的网络安全防范体系保护学校的网络应用的安全。以安全策略为核心、以安全技术作为支撑、以安全管理为落实、以主动防御为今后发展方向的网络安全防范体系,将是提升校园网安全的一个全面解决方案。
3 提升网络技术素养
3.1提高网络中心工作人员网络技术素养
计算机技术和通信技术的快速发展,加速了高校网络中心的设备更新,促使网络管理员必须树立“终身学习”的信念,紧跟信息化的步伐,接受新知识,了解新信息,掌握新技术,提高网络技术素养和技能。网络管理员掌握网络技术的技能对校园网的正常运行十分重要。这样的网络技术人员不但能够处理网络维护等常规工作和日常事务,具备快速处理故障的工作技能,还可带动对网络技术的深层学习和开发,积极开展科研活动,促进网络服务水平和科研能力提高。现在高校所应用的新技术主要有虚拟化、IPV6和存储等,学校应提供各种机会,通过技术讲座,订阅必要的技术刊物等方式做好网络中心工作人员的新技术培训工作。
3.2提高学校各单位工作人员的网络技术素养
随着校园网的发展,校园网用户日益增多,网络设备不断增加和更新。为了及时处理各单位网络问题和更好地提供网络服务,网络中心应指导学校各单位建立网管小组或设立网管员以协助网络中心开展网络维护、网络安全管理、网站管理、故障处理的工作。另外网络中心还可以聘请学生网络管理员,组织学生网络管理员参与网络的管理和维护工作。
3.3提高校园网用户网络技术素养
校园网用户网络技术水平高低造成了校园网的资源不能被用户有效使用,这样不但造成了资源的浪费。也会影响用户与校园网之间的联系。因此对用户进行一定的培训是十分必要的。将校园网在使用中常见的问题和解决对策、新的服务及应用通过在网站展开宣传、开办讲座等方式传授给用户,这是提高校园网管理效率和增强用户安全防御能力的重要途径。
4 建设管理制度
网络中心遇到的最多的问题还是管理问题,即通常所说的,三分技术七分管理。而管理制度建设就是管理落实的一个重要方面。为了使校园网的管理和维护做到有章可循,确保校园网高效运营和管理,要制定和编写管理制度、用户守则、入网申办流程、上网信息审查等规章制度。
4.1网络中心工作制度
网络中心的工作制度主要包括中心机房工作制度和网络日常维护工作制度。
网络中心机房是校园网络的枢纽。为保障校园网的畅通,保证机房设备的正常运行,规范机房人员的工作行为,必须建立和完善各项管理制度。这些制度包括组织与职责制度、机房管理制度、网络设备运行管理制度、网络系统安全管理制度、用户密码账号和权限管理制度、备品备件管理制度、服务器数据备份与恢复管理制度、应急预案和技术培训等。
网络日常维护是校园网正常运行的支持和保障。提高网络的稳定性、降低故障报修是网络维护工作者的追求目标。认真做好日常维护和突发事件的维护工作,对保证校园网正常运行十分重要。而制定严格的网络维护制度是保障整个网络高质量运行的关键。
校园网络管理制度范文第2篇
关键词:校园网 网络管理 网络维护
中图分类号:G717 文献标识码:A 文章编号:1672-3791(2013)07(b)-0024-01
随着计算机网络的不断发展,越来越多的学校接入了Internet,组建了不同规模和不同层次的校园网,并配备了专业人员进行网络管理和维护。高校校园网具有规模庞大、系统复杂、使用人员网络素质层次不一、使用频率高等特点,因此对校园网的管理与维护提出了更高更严的要求。只有不断加强对校园网的管理和维护,才能充分发挥网络设备的性能,保证校园网的正常运行,更好地全方位为全校师生员工服务。结合工作实践,笔者认为要做好校园网网络管理必须做好以下几方面的工作。
1 做好网络整体规划
在网络建设的初期就应该做好整体网络规划,一次到位,避免在后期使用中再进行重新规划。校园网网络的层次一般都包含三层,即接入层、汇聚层和核心层,但也有只包含两层的,即接入层和核心层。网络规划主要包括IP地址的分配、网络技术的选择、设备的采用等,要保持一致性,便于管理、维护和升级。根据笔者从事校园网网络管理的经验,IP地址尽量做到自动分配,由于高校部门多、人员多,且使用网络人员的网络素质有高有低,若是手工分配一方面网络管理人员工作量大、维护效率低;另一方面由于IP地址冲突也会造成用户网络不稳定,影响用户工作效率。而且在绝大多数校园网IP地址规划中,都采用自动获取IP的方式。如若校园网的规划不够规范,应尽快尽早拿出整改方案,进行重新规划。在进行整改时,要非常熟悉现有网络的规划情况及存在的问题,提出方案后要进行充分的验证后再实施。
2 规范网络管理制度,做好维护日志,积累维护经验
建立规范完善的网络管理规章制度是保证校园网网络正常管理、维护的基本前提。有了规章制度才能做到有规可依、有规可循,使网络的规划和校园网的维护管理做到有条不紊,提高效率,保证整个网络的一体性、连续性。作为网络管理的一个重要措施,规章制度的建立要具体、全面、切合实际,要严格遵守制定的各项制度,否则网络管理也不会规范有序。
网络管理管理员最基本的一项工作就是建立网络文档,很多情况要求网络管理员必须全面一贯地记录网络的情况,当网络突然出现问题必须马上排除,或因为网管员的请假或者离职,有了一份详尽、及时的文档,查找问题和维护系统的时间都会大大缩短,许多错误和混乱也可以避免。网络文档中应记录网络的物理基础结构,应该记录所有网络设备的配置信息和更改信息。在用户进行网络设备升级或解决网络故障时,这些信息可以帮助技术人员尽快熟悉情况找到合适的方法。
3 进行上网行为管理
在高校校园网中,用户主要由两大类,一类是教职员工,使用网络的需求主要是进行备课、学习和办公等;另一类用户是学生,使用网络则比较随意自由,在对学生施行包月收费时,就造成学生大量使用BT、电驴、迅雷等软件来“充分”利用网络资源下载电影、音乐或文字材料,或在线看电影、使用视频直播等,造成了带宽大量被抢占,学校网络速度受到极大影响,也让网络管理部门面临了很大的压力。针对以上的问题,可以在核心层布置上网行为管理服务器,对网络流量进行细致的管理,实现对带宽质量的保证以及网络的有效管理,并能对P2P软件进行智能识别,对其下载做出控制以及完全的封堵。
此外,还必须对用户的上网行为的内容安全进行审计过滤,对一些非法网站进行屏蔽阻拦,防止因此带来病毒、木马甚至法律责任;防止内网用户通过论坛、博客、BBS等途径上传或下载一些非法内容,要对相关言论的发表做关键字过滤或对此类行为做详细记录,以便追查;对外发的信息进行管理和监控,要能够进行违规警慑,事后能够追踪查询。
4 组建学生管理员队伍
对于学习计算机网络的学生而言,校园网就是一个真实的实验环境。培养学生管理员,既能帮助网管老师分担工作,提高网络维护和故障排除的响应速度,提升网络管理部门的服务水平,又能在网管老师的培养下,学会课堂上学不到的内容,增加了实践动手的机会,而且学生在处理网络故障时,能从教师及学生用户那里得到认可,这也能够培养学生的自信心,激发学习兴趣,对其他学生起到帮带作用和良好的榜样。在培养学生管理员时也要进行筛选,首要的是踏实好学,网络管理和维护是很细琐的工作,因此需要学生管理员能够具有较强的自学能力和毅力,其次要能够很好的与各类用户进行沟通,体现网络管理部门作为一个服务部门的水平。
5 提高网络用户基本素质
现在校园网的规模越来越大,用户越来越多,但一个普遍存在的现象是大部分的校园网用户的网络使用水平、安全和病毒防范的意识、简单网络故障解决能力都很低,这样既给网络管理部门增加工作负担,也影响用户的工作和学习,如果对所有用户进行培训,只能治标不治本,因此可以利用网络平台来进行辅助。笔者所在学校目前已经开通了网络学习空间,网络管理部门在空间上提供了丰富的学习资料,简单易懂,例如无线路由器设置、安装杀毒软件、简单故障排除等,这样既能够给用户在自己动手解决故障时提供一些帮助,另外也会让用户从依赖网络管理部门变成自觉自愿为自己为他人服务,更减轻了网络管理部门的工作压力,可谓一石三鸟。
总之,校园网网络管理部门是一个服务性部门,网络管理是一项繁琐却很重要的工作,必须在日常网络管理工作中不断积累经验,才能保障网络的正常运行,为老师和学生提供一个安全、稳定和网络环境,让校园网在教学和科研中发挥最大的作用。
参考文献
[1] 邱峰.论校园网络的管理与维护[J].大众科技,2008,8:39-40.
校园网络管理制度范文第3篇
关键词:校园网;安全;防火墙
中图分类号:TN915文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Campus Network Security Analysis and Design Solutions
Shen Yang
(Dalian Polytechnic University,Dalian116035,China)
Abstract:The campus network in the process facing various security threats,in view of the current situation of campus network,summary the relevant solutions for the campus network security operation,put forward the corresponding measures based on the campus network security operation.
Keywords:Campus network;Safety;Firewall
校园网是高等教育的重要教育资源。由于校园网信息交换频繁,基于校园网的各种安全问题也日益突出。为了保护数据和资源的安全,校园网必须具备其安全体系的解决方案。
一、校园网的安全风险分析
目前,由于高校校园网的建设主要以教学为中心,校园网的安全问题也多种多样,其主要的表现为以下几个方面:
(一)集群难以集中管理。由于接入校园网计算机系统差异性较大,难以要求所有的系统实施统一的安全配置,比如接入校园网的某台PC机后感染蠕虫病毒,这台电脑极有可能通过最新的安全漏洞感染其他的电脑,最终导致整个网络无法正常使用,给校园网的正常使用带来很大的威胁。
(二)用户群体特殊性。作为高校的大学生,对网络新技术充满好奇,勇于尝试。很多学生愿意操作一些新的网络类的软件,有的甚至在校园网尝试黑客工具,通过互相攻击去研究各种攻击技术,这种随意性给校园网带来致命的威胁。
(三)网络安全重视程度不够。校园网的建设重视教学资源的建设和管理,通常都忽略了网络安全,特别是在安全维护方面投入明显不足,大部分资金都是在教学资源建设、管理系统开发等方面,造成了一定的安全隐患。
针对这种状况需要制定基于校园网安全体系解决方案,保障教师与学生能够安全地使用校园网资源。
二、校园网安全解决方案
(一)构建安全的防范体系。根据校园网的应用现状情况将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
1.物理层安全;该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。计算机中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地技术条件》的要求。需要学校计算机管理中心老师配合工程技术人员共同完成。
2.系统层安全;该层次的安全问题来自网络内使用的操作系统的安全,如Windows XP,Win 7等系统安全升级。要求网络中的用户采用安全补丁更新并且选择适合用户本身的正版杀毒软件,平时要定期的检测系统有无病毒,避免感染网络中给其他设备。
3.网络层安全;该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段等,确保网络正常运行。
4.应用层安全;该层次的安全问题主要由学校服务器提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、BBS等。
5.管理层安全;网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理等。同时,针对校园网络的实际情况,解决网络的安全问题,必须考虑到技术难度、投入经费、维修与维护的保障等等因素,
因此,必须将各种安全技术与运行管理机制、网管人员技能水平、安全规章制度建设相结合。
(二)校园网安全解决方案的策略。针对防范体系的层次,制定相应的策略:
1.保障物理设备安全。物理设备指服务器、交换机、路由器等设备,一定要设置复杂密码,防止黑客通过网络轻易获得这些设备的控制权,更改这些设备的配置,会导致整个校园网络瘫痪。
2.设计正确的网络拓扑。校园网络至少要采用两级结构:主干网和子网。校园网的主干采用成熟的千兆以太网,在校园网络中心机房设有一个总的出口接入教育网,所有进出校园网的数据都需要通过此出口检测过滤。网络中心对全校进行合理VLAN划分,这种配置结构既保证了主干网信息可靠、高速地传输,抑制网络广播风暴,又方便管理用户。
3.利用杀毒软件与防火墙增强网络的安全性。安装正版的网络杀毒软件,确保定期或及时升级杀毒软件的引擎、病毒库;在内外网之间建立了一道牢固的安全屏障即安装硬件防火墙,专用服务器连接在防火墙的DMZ区,与内外网间进行隔离,既保障服务的正常运行,也保护内网资源不被外部非授权用户非法访问和破坏,加强与IDS(入侵检测系统)的联动,入侵检测被认为是防火墙之后的第二道安全闸门。
4.教学资源的备份和恢复。教学资源是校园网的核心,其中学生的成绩、学籍资料、教学素材等重要资源必须要进行合理的备份,以待出故障后进行有效数据恢复,通常采用双机热备份方法,当设备出现故障时马上切换到备份设备,利用“热备份”和“冷备份”两种策略保障资源的使用。
5.完善合理的网络管理制度。不仅利用网管软件对使用中的设备进行实时检测,同时要建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施,保证制度的执行。可以定期对教职工、学生开展网络安全技术类讲座,树立正确的网络安全防范意识。
三、结束语
总之,校园网的安全问题不仅仅是技术问题,其防范体系的安全性也不是一劳永逸的,新的安全问题不断涌现,必须根据情况制定新的安全防范措施,不断维护和更新校园网安全,保证校园网更安全更好地服务于高校的教学工作。
参考文献:
校园网络管理制度范文第4篇
目前各大高校已经完全普及校园网,基于校园网开展教学工作、教务管理、科研管理和师生之间的交流等已经成为当今高校校园网管理不可忽视的日常工作。校园网是一种利用计算机技术,将学校的各种网络设施、工作站、局域网等连接起来的一种网络。通过校园网,高校能顺利开展教学、校园办公,共享教学资源等各项工作。因此,进行校园网的管理和维护研究具有重要的现实意义和应用价值。
2校园网管理与维护概述
当今高校的工作几乎都能通过校园网来完成,因此,校园网的管理和维护就显得十分重要。校园网管理与维护的目的在于网络全天候无故障运行,并根据不同需要及时调整或进行更新;保证各种软件系统稳定运行、不受恶意攻击以及各种数据的安全;确保校内网络畅通,与互联网安全互联,为信息传递、数据共享提供安全渠道,为高校的各项工作提供网络基础。
3校园网管理与维护方案
校园网的管理和维护是校园网能够正常稳定运行的重要保障,下面将详细阐述可采用的方案或策略。
3.1校园网的管理
校园网涉及的管理项目繁多,且师生们对网络的要求各不相同。因此,对校园网开展管理工作仍具有一定难度。以下将从推进网管队伍建设、完善网络管理制度、提高网络安全管理以及加强网络资源建设几个方面进行详细分析。在网管队伍建设方面,各个高校校园网所涉及的范围、情况和需求不尽相同,如果缺少专业化的网络管理队伍,则难以完成有针对性的网络配置和管理。因此,校园网的功能能否得到充分发挥,加强网络管理队伍建设是校园网顺利运行的关键。在网络管理制度建设方面,在已有制度的基础上及时进行合理的更新完善,建立相关的应急预案,明确网管队伍的工作职责、个人分工、突发事件的处置程序和权限,以防止或减少因制度不明而造成的混乱。在网络安全管理方面,网络的开放和虚拟两种特性对网络安全构成严重挑战,这也成为了当今网络管理的核心主题。当前高校校园网普遍都存在各类安全问题,如网站存在漏洞、计算机病毒传播、木马软件的威胁和黑客的入侵等,这些问题对校园网和各类重要数据的安全都不可小觑。面对这些不同的安全威胁,需要采取有针对性的措施。对网站上的漏洞,可通过建立先进的网络安全管理系统,定时对校园网中的各类网站进行扫描,及时发现并修复,既提高校园网的安全性,也可提高网络的整体稳定性;针对计算机病毒和木马软件,可在终端计算机或服务器上安装杀毒软件,定期对设备进行病毒和木马查杀,并及时更新病毒库。同时,在高校的内部网络和外部网络之间配置防火墙,将内部网络与外部网络进行有效的隔离;此外还可以配置入侵检测系统等设备,进一步提高网络的安全性。对内部网络中相对重要的教学管理部门,如领导办公室、财务处、教务处等根据其部门特性对其进行单独的网络划分和配置,保证数据安全;针对黑客的恶意攻击,首先需要提高师生的安全意识,在设备上设置较为复杂的登录密码,且不访问未知或不安全的网页,不随意在存储重要数据的计算机或服务器上插拔未知的存储设备。在网络资源建设方面,高校时代的资源也是学生生涯中最丰富的一个时代,让高校资源得到充分共享,提高利用率就显得尤为重要。在当前这个信息爆炸性增长的时代,硬件建设已经不是主要困难,对校园网来说,除了要确保网络的畅通和稳定这些基本需求外,还应当关注信息资源的利用。通过整合多元的信息资源,使教师可利用这些资源丰富教学内容,提高教学质量;让学生选择适合自身特点的学习方式和途径,提升学习效率。此外,网络信息资源的多寡对高校对外形象及其社会影响的高低也有不可低估的作用。
3.2校园网的维护
对校园网的维护工作主要从硬件和软件两个方面开展。3.2.1校园网硬件的维护。校园网在运行过程中,硬件设备难免会出现各种老化、损坏等现象,这就需要高校中专业的网络维护部门或人员,对网络设备进行监测和定期维护。在维护硬件时,重点检查核心路由器、交换机等重要设备是否处于正常的运行状态,及时检测机房的环境是否整洁干燥等,另一方面要及时了解当前校园发展和各项工作推进所带来的需求改变,及时更改提高硬件组合配置,提高其利用率,降低故障的风险。3.2.2校园网软件的维护。校园网软件的维护相对复杂,既需要网络管理员根据实际情况来制定网络管理规定,还需要师生配合。网络管理员需要熟悉并运用病毒查杀软件、漏洞扫描软件以及基于SNMP的网络管理软件等软件,能定期检查软件更新和补丁情况,确保软件、病毒库和漏洞补丁目录处于最佳的工作状态,确保能及时发现校园网中的安全隐患,使管理员能采取相应的措施;师生应当加强网络安全防护意识,如安装杀毒软件并定期更新,规范上网行为等,以最大限度减少网络不安全性因素。
4结论
由于网络技术应用的日益普及,校园网的不可或缺性已经成为高校师生的共识。校园网的日常管理和维护是校园网能够正常运行的基础。面对越发复杂的社会及网络环境,高校应当对校园网的管理和维护工作给予相应的重视,以确保高校能健康、稳定地发展。
参考文献
[1]张娜.新形势下高校校园网的管理与维护[J].通讯世界,2017(04):118-118.
[2]曹东朗.高校校园网络的安全管理与维护[J].电子技术与软件工程,2016(01):226-226.
校园网络管理制度范文第5篇
关键词:校园网;ARP欺骗;802.1x认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-0998-02
校园网是数字化校园建设的基础,是教学、办公自动化和信息化的依托,随着数字化校园建设的不断发展,广大师生越来越依赖于校园网内日益丰富的资源和应用。由于校园网自身的一些特点和广大师生网络安全意识的淡薄,我们在享受校园网带来方便的同时,也使校园网面临着各种安全隐患。ARP欺骗便是其中非常典型的一种,ARP病毒大规模爆发时,其造成的影响和危害都比较严重。它利用了ARP协议的天然缺陷,因此单纯靠网络安全软硬件产品很难防御,这就需要校园网络管理人员综合利用科学有效的网络管理制度配合最新的网络安全软硬件产品和网络技术,形成立体的网络安全体系,做到预防为主,防治结合。
1 ARP协议及欺骗原理
1.1 ARP协议
地址解析协议 (Address Resolution Protocol),简称ARP协议,负责将某个IP地址解析成对应的MAC地址,主要应用在以太网中,但也能在ATM和FDDI网络中使用。在OSI网络模型中,网络被分为七层,IP地址位于OSI七层模型的第三层,MAC地址位于第二层,OSI网络模型中的各层不能直接打交道,只能通过层之间的接口来相互通讯。局域网中数据通讯是基于MAC地址进行寻址的,而不是IP地址,数据帧如果要到达目的地,就必须知道对方的MAC地址。因此,为保证通讯的顺利进行,在仅知道目标主机IP地址的情况下,需要使用ARP协议来实现将目标主机的IP地址解析为对应的MAC地址。
每台安装有TCP/IP协议的主机都有一个ARP缓存表,表里记录了一系列IP、MAC地址对,它描述了其它主机IP地址与MAC地址的对应关系。当主机A往主机B发送数据时,主机A会查找本机的ARP缓存表,如果存在主机B的IP地址,根据ARP缓存表中的对应关系,直接返回主机B的MAC地址,把主机B的MAC地址写入数据帧;如果不存在主机B的IP地址,主机A会广播一个ARP请求包,ARP请求包中包含主机B的IP地址,网络上的所有主机都会接受这个请求,但只有主机B收到这个ARP请求包时,才向主机A发送包含自身MAC地址信息的ARP应答包。这样,主机A就获取了主机B的IP地址与MAC地址对应关系,并以此更新本机ARP缓存表,主机A就可以向主机B发送数据了。ARP缓存表采用了老化机制,是有生存期的,生存期结束后,将再次重复以上过程,这样大大减少ARP缓存表的长度,加快查询速度。以上就是ARP协议的原理,由于其没有相应的安全验证机制,也就使得ARP欺骗产生了。
1.2 ARP欺骗原理
ARP协议是个早期的网络协议,RFC826在1980年就出版了。早期的互联网在科研、大学内部使用,采取的是信任模式,追求功能、速度,没考虑网络安全。ARP协议缺乏相应的安全验证机制,主机会接受任何向它发送的ARP应答报文,并根据应答报文中的IP地址和MAC地址更新本地的ARP缓存表,而不管是否发送过相应的ARP请求。因此,可以用虚假ARP应答包来欺骗主机,使主机获得不真实的IP地址与MAC地址对应关系。
假设局域网中有三台主机,分别为主机A、主机B、主机C。它们的IP地址分别为192.168.200.11、192.168.200.22、192.168.200.33;MAC地址分别为AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。
在ARP欺骗攻击前,A和B之间能够正常通讯。随后,主机A收到恶意主机C伪造的ARP应答报文,伪造的ARP应答报文中IP地址为主机B的IP地址192.168.200.22,MAC地址为主机C的MAC地址CD-CD-CD-CD-CD-CD,主机A根据伪造的ARP应答报文更新ARP缓存表。此时,主机A的ARP缓存表中主机B的IP地址对应于主机C的MAC地址,由于局域网的数据通信是根据MAC地址进行寻址,主机C通过ARP欺骗就获取了主机A原本发送给主机B的数据,这是一个简单的ARP欺编。如果主机B是网关或路由器,主机C通过ARP欺骗,将导致主机A找不到正确的网关而使网络中断。ARP欺骗攻击时,攻击者持续不断地发出伪造的ARP应答报文,网络中产生大量的ARP数据包,导致网络阻塞,严重时将导致局部网络瘫痪。
2 ARP欺骗防御措施
针对ARP协议及ARP欺骗原理,大家提出了多种ARP欺骗防御措施。例如,安装ARP防火墙;在接入交换机上做IP地址、MAC地址与交换机端口绑定;划分足够小的VLAN,在小规模的网络中可以考虑将每个终端设备划入不同VLAN;使用DHCP Snooping技术。实际操作过程中,可以根据具体的网络情况和预算采取不同的措施或它们的组合。我们主要采用了基于802.1x协议认证对ARP的欺骗进行防御,并综合了上述划分VLAN等几种防御措施,形成一个立体的ARP欺骗防御体系。网络拓扑示意图如图1所示。
如图1所示,我们主要采用神州数码DCS-3950系列交换机的802.1x认证功能配合神州数码DCBI-3000计费管理系统实现校园网认证接入管理。在管理上,严格要求校园内每台主机要接入校园网前必须向网络管理中心上报主机的MAC地址,申请认证账号及密码。网络管理中心开通账号、分配相应的静态IP并与其上报的MAC地址进行绑定。主机使用网络中心授权的账号密码通过802.1x拨号认证才能接入校园网,在此基础上通过神州数码DCBA认证才能访问因特网。基于802.1x认证实现网络接入,不仅能对ARP欺骗攻击进行有效的防御并且防止了静态IP分配策略中IP冲突问题。
3 结束语
总之,校园网的安全建设是一项长期而复杂的工作,它对网络设备、网络技术和相关管理制度都有着非常高的要求,只有在网络设备、网络技术和网络管理制度的综合保证下,才能在最大程度上保证校园网的安全。由于ARP协议的安全缺陷来源于自身设计上的不足,目前针对ARP欺骗,我们基本上只能立足于防御及限制ARP欺骗的影响范围,ARP病毒攻击根本彻底的解决只能寄望于IPv6协议应用的早日普及。
参考文献:
[1] 夏海静,刘光伟.ARP攻击防范及解决方案分析[J]. 福建电脑,2011(1).
[2] 孟迪.基于802.1x协议的校园网ARP欺骗防御[J]. 辽宁科技大学学报, 2010(12).
[3] 闫实,刘占波,冯修猛.高校校园网ARP病毒欺骗原理及防御方法[J].网络安全技术与应用,2010(6).
