學(xué)校宿舍網(wǎng)絡(luò)安全探究

0.前言

如今，校園宿舍網(wǎng)呈現(xiàn)用戶多且密度大、網(wǎng)絡(luò)節(jié)點(diǎn)多、難以管理的特點(diǎn)。宿舍網(wǎng)的用戶相對(duì)其他網(wǎng)絡(luò)的用戶分布要密集很多，而眾多用戶與不同宿舍樓之間的網(wǎng)絡(luò)連接結(jié)構(gòu)相似，但節(jié)點(diǎn)甚至比辦公大樓、實(shí)驗(yàn)室等其他區(qū)域的網(wǎng)絡(luò)節(jié)點(diǎn)還要多，管理起來(lái)工作量大。同時(shí)，不容忽視的是，學(xué)校擁有一大批活躍、求知欲強(qiáng)的學(xué)生用戶，因此IP地址盜用等現(xiàn)象頻頻發(fā)生。在傳統(tǒng)的IP和MAC地址綁定、流量計(jì)費(fèi)的運(yùn)營(yíng)管理模式下，為了防止IP地址盜用現(xiàn)象，將大量IP和MAC地址綁定，不僅加大了服務(wù)中心工作人員的工作量，甚至造成了超負(fù)荷工作，工作人員對(duì)此有很大意見；同時(shí)，用戶對(duì)不能正常使用網(wǎng)絡(luò)的抱怨也時(shí)有發(fā)生。各種原因交織在一起最終導(dǎo)致了管理難的問題。因此，我們一直在尋找由難到易的宿舍網(wǎng)運(yùn)營(yíng)計(jì)費(fèi)認(rèn)證管理辦法，需要它營(yíng)造出一種方便、實(shí)用、快捷、易于管理的網(wǎng)絡(luò)環(huán)境。

同時(shí)，由于宿舍區(qū)網(wǎng)絡(luò)使用者知識(shí)能力等所限，被病毒、木馬等威脅的實(shí)例也層出不窮，例如：局域網(wǎng)爆發(fā)ARP病毒，具體表現(xiàn)為局域網(wǎng)內(nèi)一些正在上網(wǎng)的電腦主機(jī)頻繁掉線或是斷線。這是因?yàn)榫钟蚓W(wǎng)內(nèi)有電腦運(yùn)行ARP欺騙程序（比如：傳奇、QQ盜號(hào)的軟件等）發(fā)送ARP數(shù)據(jù)包，致使被攻擊的電腦不能上網(wǎng)。為了有效防范宿舍區(qū)內(nèi)病毒等的發(fā)生與蔓延，有必要認(rèn)真研究解決對(duì)策。

1.宿舍網(wǎng)絡(luò)安全簡(jiǎn)介

隨著網(wǎng)絡(luò)的快速發(fā)展和上網(wǎng)用戶的急劇增多，網(wǎng)絡(luò)中的不安全因素日益暴露無(wú)遺，主要表現(xiàn)在：

1）由于IP和MAC地址的可變性而導(dǎo)致的冒用合法用戶入網(wǎng)問題。非法用戶只要連接網(wǎng)線，對(duì)電腦進(jìn)簡(jiǎn)單的網(wǎng)絡(luò)配置就可以上網(wǎng)。由于IP和MAC盜用會(huì)導(dǎo)致合法用戶不能上網(wǎng)，甚至非法入網(wǎng)者會(huì)以合法用戶的名義從事非法勾當(dāng)，對(duì)網(wǎng)絡(luò)的安全管理造成很大的威脅；

2）操作系統(tǒng)和應(yīng)用軟件存在大量漏洞，這是造成網(wǎng)絡(luò)安全問題的嚴(yán)峻的一個(gè)主要原因。國(guó)際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計(jì)，截至2004年以來(lái)漏洞公布總數(shù)16726個(gè)，并且利用漏洞發(fā)動(dòng)攻擊的速度也越來(lái)越快；

3）校園網(wǎng)用戶安全意識(shí)不強(qiáng)及計(jì)算機(jī)水平有限。大部分學(xué)校普遍都存在重技術(shù)、輕安全、輕管理的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬(wàn)事大吉，甚至有些學(xué)校直接連接互聯(lián)網(wǎng)，嚴(yán)重缺乏防范黑客攻擊的意識(shí)。

學(xué)生宿舍網(wǎng)作為服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與Internet互聯(lián)。宿舍網(wǎng)連接的校內(nèi)學(xué)生機(jī)，存在許多安全隱患，主要表現(xiàn)有：

1)宿舍網(wǎng)與Internet相連，面臨著外網(wǎng)攻擊的風(fēng)險(xiǎn)。

2)來(lái)自內(nèi)部的安全威脅。

3)接入宿舍網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，這些節(jié)點(diǎn)會(huì)面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問題。

通過對(duì)宿舍網(wǎng)的安全設(shè)計(jì)，在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障宿舍網(wǎng)絡(luò)安全，一個(gè)整體一致的內(nèi)網(wǎng)安全體系，應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面，并且，這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái)，才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。

身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ)，不確認(rèn)實(shí)體的身份，進(jìn)一步制定各種安全管理策略也就無(wú)從談起。內(nèi)網(wǎng)的身份認(rèn)證，必須全面考慮所有參與實(shí)體的身份確認(rèn)，包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中，客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注，因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。

授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的，其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)，確定誰(shuí)能夠在那些計(jì)算機(jī)終端或者服務(wù)器使用什么樣的資源和權(quán)限。授權(quán)管理的信息資源應(yīng)該盡可能全面，應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲(chǔ)設(shè)備資源等。

數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心，其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理，構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲(chǔ)和交換環(huán)境，從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣，所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無(wú)關(guān)性。

監(jiān)控審計(jì)是宿舍網(wǎng)絡(luò)安全不可缺少的輔助部分，可以實(shí)現(xiàn)對(duì)宿舍網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控，提供宿舍網(wǎng)絡(luò)安全狀態(tài)的評(píng)估報(bào)告，并在發(fā)生宿舍網(wǎng)絡(luò)安全事件后實(shí)現(xiàn)有效的取證。

宿舍網(wǎng)絡(luò)安全已經(jīng)成為信息安全的新熱點(diǎn)，其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中，我們有理由相信，隨著同學(xué)們對(duì)宿舍網(wǎng)絡(luò)安全認(rèn)識(shí)的加深，用戶宿舍網(wǎng)絡(luò)安全管理制度的完善，整體一致的宿舍網(wǎng)安全解決方案和體系建設(shè)將成為宿舍網(wǎng)安全的主要發(fā)展趨勢(shì)。

宿舍內(nèi)部網(wǎng)絡(luò)安全經(jīng)常會(huì)發(fā)生IP盜用現(xiàn)象，惡意修改MAC地址，嚴(yán)重危害了正常的上網(wǎng)秩序，下面我們先從網(wǎng)卡開始探討網(wǎng)絡(luò)的安全問題。

2.網(wǎng)卡

2.1網(wǎng)卡的基本構(gòu)造

網(wǎng)卡包括硬件和固件程式（只讀存儲(chǔ)器中的軟件例程），該固件程式實(shí)現(xiàn)邏輯鏈路控制和媒體訪問控制的功能，還記錄唯一的硬件地址即MAC地址。網(wǎng)卡上一般有緩存。網(wǎng)卡須分配中斷IRQ及基本I/O端口地址，同時(shí)還須配置基本內(nèi)存地址（basememoryaddress）和收發(fā)器（transceiver），主要由網(wǎng)卡的控制芯片、晶體震蕩器、BOOT插槽、EPROM、內(nèi)接式轉(zhuǎn)換器、RJ-45和BNC接頭、信號(hào)指示燈等部分。

網(wǎng)卡的控制芯片是網(wǎng)卡中最重要元件，是網(wǎng)卡的控制中央，有如電腦的CPU控制著整個(gè)網(wǎng)卡的工作，負(fù)責(zé)數(shù)據(jù)的的傳送和連接時(shí)的信號(hào)偵測(cè)。早期的10/100m的雙速網(wǎng)卡會(huì)采用兩個(gè)控制芯片（單元）分別用來(lái)控制兩個(gè)不同速率環(huán)境下的運(yùn)算，而現(xiàn)在較先進(jìn)的產(chǎn)品通常只有一個(gè)芯片控制兩種速度。

內(nèi)接式轉(zhuǎn)換器只要有BNC接頭的網(wǎng)卡都會(huì)有這個(gè)芯片，并緊鄰在BNC接頭旁，它的功能是在網(wǎng)卡和BNC接頭之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換，讓網(wǎng)卡能通過它從BNC接頭送出或接收資料。

信號(hào)指示燈在網(wǎng)卡后方會(huì)有二到三個(gè)不等的信號(hào)燈，其作用是顯示現(xiàn)在網(wǎng)絡(luò)的連線狀態(tài)，通常具備TX和RX兩個(gè)信息。TX代表正在送出資料，RX代表正在接收資料，若看到兩個(gè)燈同時(shí)亮則代表現(xiàn)在是處于全雙工的運(yùn)作狀態(tài)，也可由此來(lái)辨別全雙工的網(wǎng)卡是否處于全雙工的網(wǎng)絡(luò)環(huán)境中部分。

2.2網(wǎng)卡的工作原理

網(wǎng)卡的主要工作原理是整理計(jì)算機(jī)上發(fā)往網(wǎng)線上的數(shù)據(jù)，并將數(shù)據(jù)分解為適當(dāng)大小的數(shù)據(jù)包之后向網(wǎng)絡(luò)上發(fā)送出去。對(duì)于網(wǎng)卡而言，每塊網(wǎng)卡都有一個(gè)唯一的網(wǎng)絡(luò)節(jié)點(diǎn)地址，它是網(wǎng)卡生產(chǎn)廠家在生產(chǎn)時(shí)燒入ROM（只讀存儲(chǔ)芯片）中的，我們把它叫做MAC地址（物理地址），且保證絕對(duì)不會(huì)重復(fù)。發(fā)送數(shù)據(jù)時(shí)，網(wǎng)卡首先偵聽介質(zhì)上是否有載波（載波由電壓指示），如果有，則認(rèn)為其他站點(diǎn)正在傳送信息，繼續(xù)偵聽介質(zhì)。一旦通信介質(zhì)在一定時(shí)間段內(nèi)（稱為幀間縫隙IFG=9.6微秒）是安靜的，即沒有被其他站點(diǎn)占用，則開始進(jìn)行幀數(shù)據(jù)發(fā)送，同時(shí)繼續(xù)偵聽通信介質(zhì)，以檢測(cè)沖突。在發(fā)送數(shù)據(jù)期間,如果檢測(cè)到?jīng)_突，則立即停止該次發(fā)送，并向介質(zhì)發(fā)送一個(gè)阻塞信號(hào)，告知其他站點(diǎn)已經(jīng)發(fā)生沖突，從而丟棄那些可能一直在接收的受到損壞的幀數(shù)據(jù)，并等待一段隨機(jī)時(shí)間（CSMA/CD確定等待時(shí)間的算法是二進(jìn)制指數(shù)退避算法）。在等待一段隨機(jī)時(shí)間后，再進(jìn)行新的發(fā)送。接收時(shí)，網(wǎng)卡瀏覽介質(zhì)上傳輸?shù)拿總€(gè)幀，如果其長(zhǎng)度小于64字節(jié)，則認(rèn)為是沖突碎片。如果接收到的幀不是沖突碎片且目的地址是本地地址，則對(duì)幀進(jìn)行完整性校驗(yàn)，如果幀長(zhǎng)度大于1518字節(jié)（稱為超長(zhǎng)幀，可能由錯(cuò)誤的LAN驅(qū)動(dòng)程序或干擾造成）或未能通過CRC校驗(yàn)，則認(rèn)為該幀發(fā)生了畸變。通過校驗(yàn)的幀被認(rèn)為是有效的，網(wǎng)卡將它接收下來(lái)進(jìn)行本地處理。

2.3網(wǎng)卡的工作模式及功能

1.工作模式分為以下四種：

1)廣播模式（BroadCastModel）:它的物理地址（MAC）地址是0Xffffff的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。

2）多播傳送（MultiCastModel）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí)接收，而組外主機(jī)卻接收不到。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，交換機(jī)根據(jù)以太網(wǎng)幀中的源MAC地址來(lái)更新地址表。當(dāng)一臺(tái)計(jì)算機(jī)打開電源后，安裝在該系統(tǒng)中的網(wǎng)卡會(huì)定期發(fā)出空閑包或信號(hào)，交換機(jī)即可據(jù)此得知它的存在以及其MAC地址。由于交換機(jī)能夠自動(dòng)根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容，所以交換機(jī)使用的時(shí)間越長(zhǎng)，學(xué)到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限，能夠記憶的MAC地址數(shù)量也是有限的。既然不能無(wú)休止地記憶所有的MAC地址，那么就必須賦予其相應(yīng)的忘卻機(jī)制。事實(shí)上，為交換機(jī)設(shè)定了一個(gè)自動(dòng)老化時(shí)間（Auto－aging），若某MAC地址在一定時(shí)間內(nèi)（默認(rèn)為300秒）不再出現(xiàn)，那么，交換機(jī)將自動(dòng)把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí)，將會(huì)被當(dāng)作新地址處理。

3.4可網(wǎng)管交換機(jī)VLAN技術(shù)VLAN即虛擬局域網(wǎng)（VirtualLocalAreaNetwork的縮寫），是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組技術(shù)。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。

先來(lái)了解一下交換機(jī)是如何使用VLAN分割廣播域的首先，在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上，任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如，計(jì)算機(jī)A發(fā)送廣播信息后，會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。

交換機(jī)收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時(shí)，如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN；同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再?gòu)腁發(fā)出廣播幀的話，交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口也就是同屬于紅色VLAN的端口2，不會(huì)再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。同樣，C發(fā)送廣播信息時(shí)，只會(huì)被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會(huì)被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。

如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了數(shù)臺(tái)交換機(jī)。在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)(如上圖)。

3.5MAC和交換機(jī)端口的綁定在了解了交換機(jī)的基本知識(shí)之后，我們來(lái)在交換機(jī)上尋求一種防止盜號(hào)上網(wǎng)的方法將網(wǎng)卡的MAC地址與交換機(jī)的端口綁定，從在交換機(jī)上遏制盜號(hào)上網(wǎng)的現(xiàn)象。我們以思科的交換機(jī)為例。

switch#configt//進(jìn)入到全局配置模式switch（config）#intf0/1//進(jìn)入到0/1號(hào)端口switch（config-if）#switchportmodeaccess//設(shè)置交換機(jī)的端口模式為access模式，注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch（config-if）#switchportport-security//打開port-security功能switch（config-if）#switchportport-securityMAC-addressxxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要關(guān)聯(lián)的MAC地址。

隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-BasedNetworkAccessContro1)而定義的一個(gè)標(biāo)準(zhǔn)。

4.802.1x認(rèn)證技術(shù)簡(jiǎn)介

4.1引言802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無(wú)線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。

4.2802.1x協(xié)議簡(jiǎn)介802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。它具有完備的用戶認(rèn)證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求，對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來(lái)的問題，更加適合在寬帶以太網(wǎng)中的使用。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實(shí)體）。在訪問控制流程中，端口訪問實(shí)體包含3部分：認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

4.3802.1x認(rèn)證體系802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口，也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就打開這個(gè)端口，允許所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口保關(guān)閉，即只允許802.1x的認(rèn)證協(xié)議報(bào)文通過。

802.1x認(rèn)證體系分為請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分：

(1)請(qǐng)求者系統(tǒng)請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證，后文的認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。

(2)認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請(qǐng)求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LANSwitch和AP)上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。

(3)認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO(ExtensibleAuthenticationProtocoloverLAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器；當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。

認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPoL協(xié)議幀，可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文；受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

4.4802.1x認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無(wú)線LAN具有安全的認(rèn)證接入功能。

4.5802.1x認(rèn)證流程基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)證方法。

以EAP-MD5為例，描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，但認(rèn)證過程不支持加密密鑰的生成。

(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入；(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來(lái)；(3)客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶名；(4)接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；(5)認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；(6)接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；(7)客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；(8)接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證；(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束；(10)如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過接入設(shè)備獲取規(guī)劃的IP地址；(11)如果認(rèn)證通過，接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器；(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。

4.6802.1x配置先配置switch到radiusserver的通訊全局啟用802.1x身份驗(yàn)證功能Switch#configureterminalSwitch(config)#aaanew-modelSwitch(config)#aaaauthenticationdot1x{default}method1[method2...]

指定radius服務(wù)器和密鑰switch(config)#radius-serverhostIP_addkeystring2、在port上起用802.1xSwitch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#dot1xport-controlautoSwitch(config-if)#end配置關(guān)鍵點(diǎn)：

1、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)端口號(hào)和RADIUS服務(wù)器一致；2、要保證在交換機(jī)上設(shè)置的認(rèn)證和計(jì)費(fèi)加密密碼與RADIUS服務(wù)器一致；3、要是RADIUS服務(wù)器非直連，那么要保證RADIUS服務(wù)器與交換機(jī)是路由可達(dá)的。

有些時(shí)候，即使我們做了一系列的防范工作，還會(huì)有一些病毒和木馬對(duì)我們的網(wǎng)絡(luò)安全工作帶來(lái)威脅。這就需要我們了解病毒等的基本知識(shí)，運(yùn)用一些防火墻或殺毒軟件阻止和消滅它們。

5.病毒、木馬、防火墻5.1計(jì)算機(jī)病毒及特點(diǎn)計(jì)算機(jī)病毒是一種人為編寫的程序。是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。其過程可分為：程序設(shè)計(jì)--傳播--潛伏--觸發(fā)、運(yùn)行--實(shí)行攻擊。計(jì)算機(jī)病毒的特點(diǎn)有傳染性、隱蔽性、潛伏性、破壞性。

5.2計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳播途徑主要有：

通過文件系統(tǒng)傳播；通過電子郵件傳播；通過局域網(wǎng)傳播；通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；利用欺騙等社會(huì)工程的方法傳播。

5.3防火墻與查殺軟件防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問，從而防止來(lái)自不明入侵者的所有通信。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

防火墻有不同類型。一個(gè)防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中。防火墻也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行，該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻。最后，直接連在因特網(wǎng)的機(jī)器可以使用個(gè)人防火墻殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能。后兩者同時(shí)具有黑客入侵，網(wǎng)絡(luò)流量控制等功能。國(guó)內(nèi)常用的殺毒軟件有瑞星、金山、江民、趨勢(shì)、東方微點(diǎn)和費(fèi)爾斯特。

5.4病毒的清除

1.如果所使用的操作系統(tǒng)的文件已經(jīng)感染病毒，那么每次啟動(dòng)系統(tǒng)時(shí)，病毒也會(huì)隨之運(yùn)行。系統(tǒng)啟動(dòng)完成后，病毒也被激活，駐留在內(nèi)存中，監(jiān)視系統(tǒng)的運(yùn)行，并伺機(jī)進(jìn)一步感染或者發(fā)作破壞。此時(shí)，不能在這種帶毒系統(tǒng)下進(jìn)行病毒清除工作，必須使用磁盤版的殺毒軟件啟動(dòng)計(jì)算機(jī)系統(tǒng)，或者使用無(wú)毒的系統(tǒng)軟盤啟動(dòng)機(jī)器，然后運(yùn)行殺毒軟件進(jìn)行病毒清除工作。

2.蠕蟲／黑客程序侵入系統(tǒng)時(shí)，一般要修改注冊(cè)表，并將自身拷貝在硬盤中，或者用自身的程序替換操作系統(tǒng)中的一些核心文件。