园区网接入安全整体解决方案设计与实施(2)
(1).范围固定:网络边界较为清晰。例如校园网,范围就是一个学校内部;
(2).用户固定:用户相对固定。例如企业网,使用者就是企业内部的工作人员。
(3).业务类型单一:对路由协议等没有明确的要求,通过简单的路由策略实现稳定的网络服务即可;
(4).实现企业内部用户可控互通:企业内部用户的不同部门之间可以实现可控互通。
目前国内运行的园区网不计其数,不同的园区网侧重点则不同,校园网侧重网络的稳定性和实用性,而企业网则侧重对信息的保密。
2.2研究基础
本文的研究基于当前系统集成商提出的解决方案。目前接入安全有两个大的研究方向,一个是有线的接入安全,另一个则是无线的接入安全。目前无线技术逐渐成熟,好多企业在布置有线的基础上,又增加了无线技术,而无线的接入需要考虑的问题大多是信号强弱,信道干扰等问题。有线的接入安全,则重点是预防一些对企业构成威胁的安全隐患。例如,非企业内部的员工接入企业网,对企业网进行攻击,不仅对企业网的运行产生影响,还会盗取企业的内部资料,对企业造成巨大的损失。所以,本文在这个基础上,重点讲述一些园区网的安全隐患以及其预防措施。
3.园区网接入安全相关技术
3.1园区网常见安全隐患
在介绍攻击之前,首先要介绍几个网络协议,以便更好的了解攻击方式。
DHCP协议:动态主机配置协议,是一个应用在大型局域网的一种网络协议。他将IP地址,网关地址,DNS服务器地址等信息动态分配给网络中的用户主机,不仅方便集中管理,还能提高地址的使用率。首先用户主机会发送地址申请的信息(DHCP Discover报文),DHCP服务器收到申请信息,会把相关的信息(DHCP Offer报文)发送给用户主机,用户主机收到后,会回复一个信息(DHCP Request)给服务器,服务器收到后,回复信息(DHCP ACK)给用户主机,表示使用这个地址配置[1]。这就网络主机动态获取地址信息的过程。
ARP协议:地址解析协议,TCP/IP协议中的一种,实现了用IP地址获取MAC地址的功能。主机之间通信之前,首先要封装报文,而封装报文不仅需要IP地址,还要需要主机的MAC地址,即物理地址。在不知道对方的MAC地址时,就需要发送APR请求获取对方的MAC地址,这个请求是一个广播报文。当对方收到这个请求后,会发回复一个单播的消息,以此来确定双方的物理地址。