论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1395阅读
  • 2回复

[求助-系统问题]利用交换机解决局域网安全问题 [复制链接]

上一主题 下一主题
离线xuhang120814
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-08-17 00:55:44
摘要:分析了局域网的安全现状。阐述了目前网络安全管理中存在的一些问题。并提出了利用交换机解决的办法。
  关键词:交换机
  解决 局域网 安全
  中图分类号:TP393.08
  文献标识码: B 文章编号:1002-2422(2007)06-0014-02
  
  1 局域网安全现状
  
  在4年前,局域网还是非常安全的,很多公司也习惯于直接在局域网共享各种常用软件和资料,但是现在很多病毒开发者打起了局域网的主意。例如由于网游而产生了ARP病毒。这是一种欺骗性质的病毒,虽然它的目的并不是破坏局域网,但为了达到它盗号盗宝的目的,会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。由于此台主机的数据处理转发能力远远低于网关,因此导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪。而且ARP病毒这样做的目的就是为了截取用户的信息,如网络游戏帐号、QQ密码等,会造成局域网堵塞,威胁到局域网用户的信息安全。
  很多针对特殊服务器或是网游私服的DDOS攻击也开始大举利用网吧或企业网络中的客户机作为“僵尸”电脑,对指定的服务器IP发送大量的数据包,“僵尸”电脑越多,服务器被消耗的带宽也越多,利用这个原理耗尽服务器的带宽,就可以达到让对方服务器掉线以便对服务器运营者进行恶意勒索的目的。这种攻击方式虽然是针对外网服务器,但是它在攻击过程中需要向路由器发送大量的数据包,会直接导致路由器仅有的100M LAN口被“堵满”,因此其他局域网的计算机的请求无法提交到路由器进行处理,结果就产生局域网计算机全部“掉线”的现象。
  还有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”:SYN攻击属于DOS攻击的一种,它利用TCP协议三次握手的等待确认缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。配合IP欺骗,SYN攻击能达到很好的效果,通常,感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统和路由器运行缓慢,严重的时候就直接引起整个局域网的网络堵塞甚至系统瘫痪。
  
  2 防火墙路由器无法解决内网安全问题
  
  面对日益严重的内网攻击和整网掉线问题,很多路由器和防火墙开发商也在产品中加入了相关技术,例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗,但是这些设备由于以太网工作原理的关系,其实还是无法全面解决内网安全问题。例如DDOS攻击,虽然路由器和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征,但是它必须在收到这些数据包之后才能对数据包进行分析,而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源,由于路由器和防火墙都在局域网的最外端,这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵,而且这些设备大部分还是采用100MB的带宽与LAN交换机相连,加上大部分的局域网交换机都是线速转发的二层交换机,受感染客户端发送的大量数据包可以很快用完这些带宽,因此网络数据传输的压力都加载在路由器的LAN端口,这时候很多正常的请求都无法顺利通过LAN口提交过去,因此即使路由器知道哪些是正常的请求也无济于事。
  
  3 用交换机来解决局域网攻击问题
  
  要解决局域网的安全问题,交换机就不能再只完成转发工作了事,还需要判断数封堵一些常见病毒所使用的端口,以及进行端口速率限制。如果这些功能转移到交换机上,就可以防止这些病毒端口发送的数据包到达路由器,从而减轻路由器的负担,保证局域网其他用户的正常上网。而为了能够识别各种恶意数据流量,交换机上就必须使用一款智能芯片,使其具备一定的分析处理能力,可以准确地判断、封堵、限制并记录ARP攻击和DDOS攻击事件,切断病毒传播的路径,一台这样的安全交换机,应当具有以下特点:(1)支持基于Ip、Mac应用的访问控制列表功能(ACL):(2)支持常见病毒端口过滤功能;(3)支持基于端口、Ip、Mac、应用的速率限制:(4)支持基于端口、ip、mac、802.1p和应用的优先级控制(QOS);(5)支持基于mac+ip+vlan+端口的绑定(ARP防御);(6)支持ARP攻击和DDOS攻击事件记录日志。
  
  4 结束语
  
  对于大中型企业网络来说,关于局域网内部的管理一直是一个非常复杂的问题,一个用户哪怕只是不小心点击一个恶意网站的链接,就会在几秒钟之内感染病毒,然后立刻影响到整个局域网的安全和稳定,加上现在恶意网站非常泛滥,病毒传播手段花样叠出,局域网安全必须受到广大网络管理人员的重视。网络在不断发展,网络安全环境也随之变化,新的安全形势对局域网安全提出新的考验,网络管理人员也需要及时更新技术,采取适当的应对措施,以保障网络的稳定畅通。
 
1条评分
quen2008 电魂 +3 闪电联盟因你而精彩! 2009-08-17
离线quen2008
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2009-08-17 12:09:47
学习一下,不错的方法
离线大懒虫

发帖
14519
今日发帖
最后登录
2019-01-23
只看该作者 板凳  发表于: 2009-08-17 20:30:38
学习了,不错的方法