基于網(wǎng)絡(luò )中ARP問(wèn)題的分析及對策論文

　　1某醫院網(wǎng)絡(luò )的現狀分析

　　目前醫院網(wǎng)絡(luò )現存主要問(wèn)題是ARP病毒的泛濫，表現形式是:雖然網(wǎng)絡(luò )連接正常，卻無(wú)法打開(kāi)網(wǎng)頁(yè);計算機網(wǎng)絡(luò )經(jīng)常斷線(xiàn)，同時(shí)網(wǎng)絡(luò )速度變慢。這些都是由于存在A(yíng)RP問(wèn)題，所表現出來(lái)的網(wǎng)絡(luò )故障情況。

　　ARP欺騙攻擊不僅影響網(wǎng)絡(luò )穩定，更嚴重的是利用ARP欺騙攻擊可進(jìn)行中間人攻擊，欺騙整個(gè)局域網(wǎng)內所有主機和網(wǎng)關(guān)，導致所有網(wǎng)絡(luò )流量都經(jīng)過(guò)攻擊者主機進(jìn)行轉發(fā)，攻擊者通過(guò)截得獲取的信息可得到相關(guān)用戶(hù)名和口令。ARP是把IP翻譯成MAC的一種協(xié)議，通過(guò)它交換機完成數據報文的快速轉發(fā)，所以交換機要學(xué)習IP和MAC的對應關(guān)系，形成ARP表項，存儲在計算機和網(wǎng)絡(luò )設備的內存中。因歷史原因，ARP設計并沒(méi)有考慮安全性，于是現實(shí)中出現了問(wèn)題:局域網(wǎng)上的一臺主機，如果接收到一個(gè)ARP報文，即使該報文不是該主機所發(fā)送的ARP請求的應答報文，該主機也會(huì )將ARP報文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。

　　2某醫院網(wǎng)絡(luò )改造方案

　　根據前面與醫院的交流，本次網(wǎng)絡(luò )改造主要解決目前網(wǎng)絡(luò )當中存在的ARP攻擊欺騙為主，兼顧流量分析、終端管理等網(wǎng)絡(luò )維護管理內容。設計本方案的基礎是，網(wǎng)絡(luò )因為無(wú)法再重新布線(xiàn)，需要維持原有網(wǎng)絡(luò )拓撲，將原先的接入交換機和核心交換機替換為H3C全系列支持ARP攻擊防御解決方案的接入交換機H3C3100EI及核心插卡式高端交換機H3CS7502E系列交換機。業(yè)界常用解決方案是在接入交換機上配置命令做網(wǎng)關(guān)IP和MAC的綁定，防御網(wǎng)關(guān)仿冒，H3C也可以實(shí)現此方案，但這種方案局限性較大，僅適用某些特定網(wǎng)絡(luò )場(chǎng)景和一種ARP攻擊的防御，不夠全面。下面以H3C交換機為例為該醫院出現的一些問(wèn)題進(jìn)行設計介紹。

　　2．1全面的ARP攻擊防御解決方案

　　根據該醫院ARP攻擊的特點(diǎn)，在DHCP監控模式下的防ARP攻擊解決方案。通過(guò)接入交換機上開(kāi)啟DHCPSnooping功能、配置IP靜態(tài)綁定表項、ARP入侵檢測功能和ARP報文限速功能，可以防御常見(jiàn)的ARP攻擊。1)DHCPSnooping功能。通過(guò)監聽(tīng)DHCP報文，記錄DHCP客戶(hù)端IP地址與MAC地址的對應關(guān)系，并且所有重要服務(wù)器的IP的綁定關(guān)系將由H3CCAMS認證服務(wù)器發(fā)布到計算機終端，避免被ARP攻擊欺騙。2)ARP入侵檢測功能。H3C接入交換機根據接收到的ARP報文重定向到CPU，綜合DHCPSnooping安全特性判斷合法性且進(jìn)行處理。3)ARP報文限速功能。H3C接入交換機支持端口A(yíng)RP報文限速功能，受到攻擊時(shí)則臨時(shí)關(guān)閉，避免該類(lèi)攻擊對CPU的影響。4)杜絕靜態(tài)IP地址更改及ACL訪(fǎng)問(wèn)控制列表實(shí)施。5)綁定唯一對應MAC和IP地址，只要有任何用戶(hù)嘗試修改其他地址，都將視為非法行為，產(chǎn)生網(wǎng)絡(luò )中斷，保證其安全性。這樣對網(wǎng)絡(luò )的訪(fǎng)問(wèn)，可挑選在接入及核心交換機上實(shí)施，很大程度上減輕出口防火墻的壓力。不僅對于外網(wǎng)訪(fǎng)問(wèn)能做規則策略，對于內網(wǎng)網(wǎng)段之間同樣可根據具體情況和需求實(shí)施不同訪(fǎng)問(wèn)控制。

　　2．2終端接入安全及管理

　　在該醫院網(wǎng)絡(luò )建設的過(guò)程中，如何提供安全的資源共享，有效的對訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的人員進(jìn)行安全管理，成為網(wǎng)絡(luò )管理人員越來(lái)越關(guān)注的焦點(diǎn)。目前，網(wǎng)絡(luò )管理人員關(guān)注的問(wèn)題主要有以下幾個(gè)方面:①誰(shuí)是你可信賴(lài)的用戶(hù)?②這些用戶(hù)應該看到什么?③他們允許在網(wǎng)絡(luò )的資源上用到什么?④他們是否可以接入到信息資源?⑤他們什么時(shí)候可以獲得操作權?⑥怎么管理這些移動(dòng)的或分散于全省各地的用戶(hù)?⑦這些用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)是否符合該醫院所設定的安全規范?進(jìn)入隔離區的用戶(hù)，只有通過(guò)一系列安裝系統補丁、檢查終端系統信息等操作，才能通過(guò)網(wǎng)絡(luò )安全策略的檢驗。

　　3實(shí)施

　　3．1部門(mén)IP分配

　　由于網(wǎng)絡(luò )地址為192．168．60．X到192．168．65．X，其中192．168．60．X是可以上醫保網(wǎng)的網(wǎng)段，所以對名醫堂、兒科、門(mén)診大廳只能在網(wǎng)段192．168．60．X，藥庫、病案樓、新病房樓放入內網(wǎng)網(wǎng)段192．168．61．X和192．168．62．X，其余的部門(mén)放入外網(wǎng)網(wǎng)段，需要2個(gè)外網(wǎng)網(wǎng)段，最后192．168．65．X作為給分醫院的。

　　3．2EAD部署說(shuō)明

　　用戶(hù)終端須安裝iNode客戶(hù)端，在上網(wǎng)前首先進(jìn)行802．1x和安全認證，否則將不能接入網(wǎng)絡(luò )或者只能訪(fǎng)問(wèn)隔離區的資源。其中，隔離區是指在交換機中配置的一組ACL，一般包括EAD安全代理服務(wù)器、補丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP地址。其中EAD安全代理服務(wù)器和防病毒服務(wù)器必須部署于隔離區，殺毒軟件可以選擇瑞星殺毒軟件、金山毒霸2013、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒軟件。

　　3．3實(shí)施效果

　　合法用戶(hù)接入網(wǎng)絡(luò )后，其訪(fǎng)問(wèn)權限受交換機中的ACL控制。特定的服務(wù)器只能由被授權的用戶(hù)訪(fǎng)問(wèn)。用戶(hù)之間的互訪(fǎng)權限也同樣受ACL控制，不同角色的用戶(hù)分屬不同的VLAN，不可跨VLAN訪(fǎng)問(wèn)。必須在通過(guò)安全客戶(hù)端的檢查后，保證沒(méi)有感染病毒才能安全接入網(wǎng)絡(luò )。而且病毒庫版本和補丁得到及時(shí)升級。

　　4結束語(yǔ)

　　最后，本網(wǎng)絡(luò )改造設計根據該醫院的實(shí)際情況，從網(wǎng)絡(luò )改造方案來(lái)針對問(wèn)題提出解決方法，以H3C交換機為例從ARP攻擊的防御到終端的安全管理的實(shí)施來(lái)解決該醫院存在的ARP攻擊嚴重的問(wèn)題，以期對ARP防御工作有所幫助。

【基于網(wǎng)絡(luò )中ARP問(wèn)題的分析及對策論文】相關(guān)文章：

企業(yè)在銷(xiāo)售管理中存在的問(wèn)題與對策分析論文06-26

國企薪酬管理問(wèn)題及對策分析論文02-26

閥門(mén)泄漏的問(wèn)題及設計對策分析論文02-24

素描教學(xué)存在的問(wèn)題及對策分析的論文01-14

護理記錄中存在問(wèn)題分析與對策11-14

淺析高校英語(yǔ)聽(tīng)力教學(xué)中存在的問(wèn)題與對策分析論文03-04

學(xué)生問(wèn)題行為的現狀分析與對策論文03-31

央行財會(huì )工作中的問(wèn)題及對策分析的論文02-24

通信網(wǎng)絡(luò )優(yōu)化問(wèn)題分析論文01-01