详细的校园网设计方案
3.3.2 网络安全设计方法
用户的地址更改/欺骗在以太网接入中也比较突出,尤其在用户内部,普通用户冒用特权用户的IP地址上网。另一种情况是,一个用户申请了一个端口访问INTERNET,但他却为许多其它用户提供接入,进行第2级带宽批发或从事其它经营活动。这是必须有办法控制此类事件的发生。 需要指出的是,如果用户使用代理上网,此时无法通过普通手法进行限制,因为网络管理根本无法发觉,要解决这个问题,必须通过限制访问速率进行,所以接入交换机支持速率限制在这种场合显得和重要。
1.端口与MAC地址的绑定
交换机的端口连接到用户的网卡,每一个网卡都有一个全球唯一的48位MAC地址,任何用户申请开通上网业务时登记MAC地址,网络管理员注入系统数据库,并起用端口的安全特性。 所选交换机支持端口的安全特性,每个端口可静态设置多个MAC地址,如果有非法MAC地址入侵,交换机 会通过TRAP告警网络管理员。这种方式安全性高,但管理复杂。
2.限定端口的同时连接MAC数
此种方法不须要做MAC地址和端口的静态绑定,只限制每端口同时连接的MAC地址数量。如假定设定每端口同时连接的MAC地址上限为2,
则用户最多有两台电脑,如果超过两台,交换机可以自动关闭此端口或向系统管理员TRAP告警。
对合法用户的正常使用,我们建议采用以下技术:
3.流量限制技术
通过对用户接入端口进行速率限制,保证用户不可以超越某个速率上限,一旦发觉某一端口流量异常,则可以认为有太多突发流量通过此端口进入业务网络,由可能在进行黑客活动,也有可能在利用此端口进行带宽批发活动或其他经营活动,网络管理人员可以马上关闭此端口,并通知客户。 端口级速率限制比通过IP地址限速的好处是简单,不需要识别每个用户的IP地址,然后设定大量的针对每个IP地址的速率控制内容。当然,缺点是一个用户必须占用一个物理端口。而根据IP地址的限速就可以允许用户复用一个物理端口。