网站原创摘 要:计算机网络的物理覆盖范围是网络安全的重要方面,严格管理网络的覆盖范围能够有效控制、入侵等潜在的网络威胁.本文探讨如何以最小的成本尽力规避该类风险.
关 键 词 :局域网;防范;非授权网络设备接入
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 12-0000-01
2010年落成的信息大厦,办公网局域采用单核心星型拓扑,核心交换机H3C 7510-E对下汇接所有楼层的接入交换机H3C 5100-E,部分接入交换机下联无线AP H3C WA2210-AG,核心交换机对上连接互联网出口设备,局域网拓扑示意图如下:
在核心交换机上,除划分若干怎么写作器vlan外,还为每楼层划分了独立的Vlan,每层的网关也集中部署于核心交换机,与接入交换机通过Trunk电路互联.
各楼层交换机仅用于终端和无线AP的接入,接入端口按用户实际需要开通,楼层交换机软件版本如下:
H3C Comware Platform Software
Comware Software, Version 3.10, Release 22008
Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved.
H3C S5100-50C-EI with 1 Processor
64M bytes DRAM
16M bytes Flash Memory
Config Register points to FLASH
Hardware Version is REV.B
CPLD Version is 002
Bootrom Version is 803
可以支持接口MAC地址绑定,且每台交换机支持不小于1024条的MAC地址表,可以满足楼层用户接入的需要.
局域网投产初期,运行稳定、用户反映良好,日常维护中逐渐发现,不少用户出于使用方便,私自连接各型无线网络设备对局域网接入范围进行物理扩展,并且任意终端均可通过未授权的网络设备接入,严重影响局域网的安全性和可控性.以下探讨如何在现有条件下,对此类非法接入进行严格的技术限制.
一、目标
以最低成本防范办公网局域网连接未授权的无线网络设备,以此杜绝用户终端通过这类未授权的网络设备接入办公楼局域网.同时,尽量照顾局域网用户现有的上网习惯,如开机即在线――无需身份认证,手机、平板等智能终端可以在大厦内移动使用――无线网络有缝自动切换.具体目标如下:
1.非授权的网络设备即使连接局域网,也无法提供有效的网络怎么写作
2.授权的网络设备提供的网络怎么写作,必须是加密的
二、措施
在各楼层接入交换机的在用接口下进行IP-MAC地址绑定,每个接口的配置步骤如下:
1.绑定IP-MAC地址表:
参考命令:am user-bind mac-addr f80f-413a-8f7f ip-addr 10.1.0.1 ,其中f80f-413a-8f7f 是客户机MAC地址,10.1.0.1是给客户机分配的IP地址.
2.配置源IP、MAC地址检测:
参考命令:ip check source ip-address mac-address
辅以管理手段:一方面禁止用户携带私人网络设备接入局域网,另一方面,公司为无线网络覆盖不到的用户采购可加密的无线AP设备,由技术部门部署,满足这部分用户的网络访问需求.
三、方案评价
1.MAC绑定优化的局限性.经过与运营商、设备制造商的交流,除了进行MAC地址绑定外,暂不存在其他识别接入设备的技术手段,由此导致,为了接入授权的网络设备、并排除非授权的网络设备,不得不将用户终端(如PC、智能手机等)也纳入MAC地址绑定范围,既给用户带来不便,也增加了安全防控的成本.同时,该方法不能控制集线器等ISO物理层设备对网络进行的扩展.
2.存在变通的解决方案:终端准入控制.准入控制系统能够保证在网络覆盖范围弹性变化的情况下,接入的终端都是合法用户授权的,而用户是否合法是由管理员统一管理的、接入的终端是否合规可由配套的软件进行实时检测,并且每个用户能够访问的资源也是由管理员统一管理的;加之一定的审计系统,就能够实现较完备的终端管控(黑白软件名单)、接入控制(身份验证通过才能使用网络)、访问控制(给用户授权一部分目标主机)和事后监督(针对问题查找用户的访问日志).准入控制系统存在维护成本,尤其是用户与访问资源之间的对应关系维护,岗位变更、业务升级等都会导致准入控制的调整,要确保各项调整的及时性,人力成本是必须考虑的.
| 有关论文范文主题研究: | 关于控制系统的论文范文 | 大学生适用: | 函授论文、电大论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 65 | 写作解决问题: | 写作技巧 |
| 毕业论文开题报告: | 标准论文格式、论文摘要 | 职称论文适用: | 论文发表、中级职称 |
| 所属大学生专业类别: | 写作技巧 | 论文题目推荐度: | 经典题目 |
3.MAC绑定高昂的维护成本.正如措施中说明的,MAC地址绑定必须在接入交换机的每个接口下分别进行,导致新终端入网、老终端迁移都更加不便.当前,大厦全网部署DHCP且未配置任何安全绑定,用户增加新终端几乎无需技术支持,用户可以利用现有的有线或无线网络环境自行入网,终端迁移也非常方便.但安全加固后,通常不再需要DHCP怎么写作,用户使用任何新终端(例如,更换PC机或智能终端等)访问办公网都必须先提供MAC地址(即使用户不具备自己查询MAC地址的能力)和上网地点(例如,工位、房号、楼层等),管理员准确完成(包括空闲的IP地址、正确的楼层交换机、正确的接口号、正确的MAC地址)绑定后,用户才能在指定的环境中(例如,固定的工位,或某一台AP的覆盖范围内)使用办公网.如果用户需要在较大的范围使用自己的终端(例如,更换办公室,便携式办公等),则必须在多个接口、甚至多台接入交换机上进行重复的绑定.由此导致的怎么写作时间每终端预计不低于30分钟,包括联系用户确认需求的时间、变更申请的时间、变更操作的时间等;如果用户接入的是无线网络设备,还应考虑无线设备配置的时间(不低于30分钟).其维护的效率之低可见一斑.
[作者简介]尹若光(1981.06-),男,硕士,网络工程师,2003年取得西安交通大学工学学士学位,同年留学法国,2006年于特鲁瓦工程技术大学获得工程师学位(相当于工学硕士学位).2006年9月入职陕西省邮政公司信息技术局,作为全省信息网网络管理员,先后负责185中心、省内骨干升级改造、同城网络优化、OA项目、数据中心搬迁、信息大厦网络规划、西安世园会网络建设、等级保护工程等工作.