国产激情久久久久影院小草_国产91高跟丝袜_99精品视频99_三级真人片在线观看

基于網(wǎng)絡(luò)中ARP問題的分析及對策論文

時間:2023-03-02 19:53:51 其他類論文 我要投稿
  • 相關(guān)推薦

基于網(wǎng)絡(luò)中ARP問題的分析及對策論文

  1某醫(yī)院網(wǎng)絡(luò)的現(xiàn)狀分析

基于網(wǎng)絡(luò)中ARP問題的分析及對策論文

  目前醫(yī)院網(wǎng)絡(luò)現(xiàn)存主要問題是ARP病毒的泛濫,表現(xiàn)形式是:雖然網(wǎng)絡(luò)連接正常,卻無法打開網(wǎng)頁;計算機網(wǎng)絡(luò)經(jīng)常斷線,同時網(wǎng)絡(luò)速度變慢。這些都是由于存在ARP問題,所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。

  ARP欺騙攻擊不僅影響網(wǎng)絡(luò)穩(wěn)定,更嚴重的是利用ARP欺騙攻擊可進行中間人攻擊,欺騙整個局域網(wǎng)內(nèi)所有主機和網(wǎng)關(guān),導(dǎo)致所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機進行轉(zhuǎn)發(fā),攻擊者通過截得獲取的信息可得到相關(guān)用戶名和口令。ARP是把IP翻譯成MAC的一種協(xié)議,通過它交換機完成數(shù)據(jù)報文的快速轉(zhuǎn)發(fā),所以交換機要學(xué)習(xí)IP和MAC的對應(yīng)關(guān)系,形成ARP表項,存儲在計算機和網(wǎng)絡(luò)設(shè)備的內(nèi)存中。因歷史原因,ARP設(shè)計并沒有考慮安全性,于是現(xiàn)實中出現(xiàn)了問題:局域網(wǎng)上的一臺主機,如果接收到一個ARP報文,即使該報文不是該主機所發(fā)送的ARP請求的應(yīng)答報文,該主機也會將ARP報文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。

  2某醫(yī)院網(wǎng)絡(luò)改造方案

  根據(jù)前面與醫(yī)院的交流,本次網(wǎng)絡(luò)改造主要解決目前網(wǎng)絡(luò)當中存在的ARP攻擊欺騙為主,兼顧流量分析、終端管理等網(wǎng)絡(luò)維護管理內(nèi)容。設(shè)計本方案的基礎(chǔ)是,網(wǎng)絡(luò)因為無法再重新布線,需要維持原有網(wǎng)絡(luò)拓撲,將原先的接入交換機和核心交換機替換為H3C全系列支持ARP攻擊防御解決方案的接入交換機H3C3100EI及核心插卡式高端交換機H3CS7502E系列交換機。業(yè)界常用解決方案是在接入交換機上配置命令做網(wǎng)關(guān)IP和MAC的綁定,防御網(wǎng)關(guān)仿冒,H3C也可以實現(xiàn)此方案,但這種方案局限性較大,僅適用某些特定網(wǎng)絡(luò)場景和一種ARP攻擊的防御,不夠全面。下面以H3C交換機為例為該醫(yī)院出現(xiàn)的一些問題進行設(shè)計介紹。

  2.1全面的ARP攻擊防御解決方案

  根據(jù)該醫(yī)院ARP攻擊的特點,在DHCP監(jiān)控模式下的防ARP攻擊解決方案。通過接入交換機上開啟DHCPSnooping功能、配置IP靜態(tài)綁定表項、ARP入侵檢測功能和ARP報文限速功能,可以防御常見的ARP攻擊。1)DHCPSnooping功能。通過監(jiān)聽DHCP報文,記錄DHCP客戶端IP地址與MAC地址的對應(yīng)關(guān)系,并且所有重要服務(wù)器的IP的綁定關(guān)系將由H3CCAMS認證服務(wù)器發(fā)布到計算機終端,避免被ARP攻擊欺騙。2)ARP入侵檢測功能。H3C接入交換機根據(jù)接收到的ARP報文重定向到CPU,綜合DHCPSnooping安全特性判斷合法性且進行處理。3)ARP報文限速功能。H3C接入交換機支持端口ARP報文限速功能,受到攻擊時則臨時關(guān)閉,避免該類攻擊對CPU的影響。4)杜絕靜態(tài)IP地址更改及ACL訪問控制列表實施。5)綁定唯一對應(yīng)MAC和IP地址,只要有任何用戶嘗試修改其他地址,都將視為非法行為,產(chǎn)生網(wǎng)絡(luò)中斷,保證其安全性。這樣對網(wǎng)絡(luò)的訪問,可挑選在接入及核心交換機上實施,很大程度上減輕出口防火墻的壓力。不僅對于外網(wǎng)訪問能做規(guī)則策略,對于內(nèi)網(wǎng)網(wǎng)段之間同樣可根據(jù)具體情況和需求實施不同訪問控制。

  2.2終端接入安全及管理

  在該醫(yī)院網(wǎng)絡(luò)建設(shè)的過程中,如何提供安全的資源共享,有效的對訪問網(wǎng)絡(luò)資源的人員進行安全管理,成為網(wǎng)絡(luò)管理人員越來越關(guān)注的焦點。目前,網(wǎng)絡(luò)管理人員關(guān)注的問題主要有以下幾個方面:①誰是你可信賴的用戶?②這些用戶應(yīng)該看到什么?③他們允許在網(wǎng)絡(luò)的資源上用到什么?④他們是否可以接入到信息資源?⑤他們什么時候可以獲得操作權(quán)?⑥怎么管理這些移動的或分散于全省各地的用戶?⑦這些用戶對網(wǎng)絡(luò)資源的訪問是否符合該醫(yī)院所設(shè)定的安全規(guī)范?進入隔離區(qū)的用戶,只有通過一系列安裝系統(tǒng)補丁、檢查終端系統(tǒng)信息等操作,才能通過網(wǎng)絡(luò)安全策略的檢驗。

  3實施

  3.1部門IP分配

  由于網(wǎng)絡(luò)地址為192.168.60.X到192.168.65.X,其中192.168.60.X是可以上醫(yī)保網(wǎng)的網(wǎng)段,所以對名醫(yī)堂、兒科、門診大廳只能在網(wǎng)段192.168.60.X,藥庫、病案樓、新病房樓放入內(nèi)網(wǎng)網(wǎng)段192.168.61.X和192.168.62.X,其余的部門放入外網(wǎng)網(wǎng)段,需要2個外網(wǎng)網(wǎng)段,最后192.168.65.X作為給分醫(yī)院的。

  3.2EAD部署說明

  用戶終端須安裝iNode客戶端,在上網(wǎng)前首先進行802.1x和安全認證,否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。其中,隔離區(qū)是指在交換機中配置的一組ACL,一般包括EAD安全代理服務(wù)器、補丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP地址。其中EAD安全代理服務(wù)器和防病毒服務(wù)器必須部署于隔離區(qū),殺毒軟件可以選擇瑞星殺毒軟件、金山毒霸2013、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒軟件。

  3.3實施效果

  合法用戶接入網(wǎng)絡(luò)后,其訪問權(quán)限受交換機中的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。用戶之間的互訪權(quán)限也同樣受ACL控制,不同角色的用戶分屬不同的VLAN,不可跨VLAN訪問。必須在通過安全客戶端的檢查后,保證沒有感染病毒才能安全接入網(wǎng)絡(luò)。而且病毒庫版本和補丁得到及時升級。

  4結(jié)束語

  最后,本網(wǎng)絡(luò)改造設(shè)計根據(jù)該醫(yī)院的實際情況,從網(wǎng)絡(luò)改造方案來針對問題提出解決方法,以H3C交換機為例從ARP攻擊的防御到終端的安全管理的實施來解決該醫(yī)院存在的ARP攻擊嚴重的問題,以期對ARP防御工作有所幫助。

【基于網(wǎng)絡(luò)中ARP問題的分析及對策論文】相關(guān)文章:

企業(yè)在銷售管理中存在的問題與對策分析論文05-09

素描教學(xué)存在的問題及對策分析的論文06-09

職?谡Z教學(xué)中的問題與對策的論文05-06

語言文字訓(xùn)練問題與對策分析的論文04-25

薩克斯教學(xué)中的問題分析論文05-05

英語教學(xué)中說的問題與對策的論文05-07

繪本教學(xué)中存在的問題及對策的論文06-03

課堂討倫中存在的問題及對策的論文06-10

分析素質(zhì)教育存在的問題及對策論文04-22

農(nóng)村義務(wù)教育存在的問題及對策分析論文04-25