网络改造的趋势和可行性分析---全网管控,全网联动篇.doc

网络改造的趋势和可行性分析-全网管控，全网联动篇 笔者从事电脑，网络相关行业十余年。经验有，教训也有。这里跟大家不说过去，展望下将来，分析下未来的趋势，希望能够共同进步。也希望大家能批评指正。本人联系QQ：8871485.阿谀奉承的不要，拍砖的欢迎。作为企业的信息专员，酒店的信息管理部，学校的网络部，相关行业的对应负责人，每一阶段的升级改造都跟自己的业绩挂钩。跟不上时代发展，轻则千夫所指，重则饭碗不保。加之电脑，网络这个行业，升级换代日新月异，如果不能及时更新自己的头脑，也迟早会被后浪拍在沙滩上。闲言少叙，我先从最为常见的普通千兆网络环境的改造说起。随着千兆网卡的普及，千兆网络已经在我们身边触手可及。稍微懂行的人都知道，相当长的时期内，网速已经不是问题，更不是瓶颈。瓶颈是硬盘不给力。可是，现在看身边，平板电脑，超级本正在纷至沓来。固态盘的读取已经相当惊人。作为这些大型流量的通道。网络安全已经是不容小觑。看两则案例：1， 内网ARP攻击 ARP攻击的原理在于他没有对ARP请求或者应答的来源做判断，即相信局域网内所有人说的都是真话，其实这样一个判断在二层交换网络中是个很大的资源浪费，在七层模型中，二层最大的作用是快速交互转发报文，如果加上对来源的认证，对效率将会是一个极大的考验，对更上层的应用来讲，传输速度也将大大降低。所以，由此产生的这样一种无差别信任的模式导致了ARP攻击的产生。具体来讲，以上面的原理举例，如果A向全网发送广播包询问C的MAC地址，这时候我们的黑客控制了主机B，在收到A的广播报文之后，通过构造ARP Response报文，可以假冒C的MAC地址给A，这里假冒的MAC地址可以是任意地址，也就是说，B可以构造自己的MAC地址给A，告诉A这是C的MAC地址，由于ARP的无差别信任，A会将B的MAC地址当成C的，那么之后A发给C的所有信息都会发送给B。这里有一个点需要注意，即使B发送了应答包，他也不能改变A中对C IP地址的映射存储，因为ARP协议传递的是MAC地址的询问，即ARP协议中，唯一能够确定的即是询问的IP地址。所以不能能骗取A更改C的IP地址，只能更改C的MAC地址。那么ARP欺骗到底有什么危害呢，首先是不言而喻的，可以获取他人传递的信息，并且可以在他人不知情的情况下，再次转发信息给正确的接受者，这样就不会有人知道，信息中间曾经被窃取过。第二是使他人断网，其实做法很简单，将一个不存在的MAC地址设为网关的IP之后发送给被攻击者，那么被攻击者除了能够发送内网信息之外，将不能同外网通信。还有一种ARP攻击办法类似DOS攻击，洪泛大量ARP包，抢占网络流量，导致不能上网。2， 内网DDOS攻击其中最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。 凡事经历过以上两种攻击的管理员应该都是恨之切切。多少教程，多少方法都试过。但是道高一尺魔高一丈。最终都是徒劳。 怎么办呢？我们能想到的就是能在客户机上弄个软件就好了，限制下每台机器发包的类型，发包的速率。岂不是就好了。这样的软件也是有的，我想作为管理员，这些软件也都试过。还是刚才说的那句话，道高一尺魔高一丈。升级后的病毒一样能绕过软件。 聪明的人说了，网卡限制岂不是好了。硬件限制！ 对，也不全对。因为网卡如果真是集成了限制，可能会让你很多东西用不了了。或者说你作为管理员，每台机器去处理，难度太大，可行性不高。但是作为中转站的交换机。是个不错的载体。如果这些交换机能够一站式维护。啥病毒都无计可施！ 下面就以某品牌的全网管控，联动整体网络方案做示范，希望能跟大家分享： MS2326全千兆全网管控安全交换机，是大连网月科技自主开发的全千兆二层以太网交换机，提供了24千兆以太网端口，支持VLAN端口镜像、防ARP欺骗，内网DDOS攻击等功能,该产品针对目前局域网中出现的安全问题，提供了802.1x、Guest VLAN、防ARP欺骗、防蠕虫病毒、防MAC地址攻击、等一系列安全特性，还可以实现IP+MAC+端口+VLAN四元素绑定。 该产品提供了可视化的WEB操作界面，通过简便操作，即可以有效防御ARP欺骗、DOS攻击及蠕虫攻击；同时为网吧和企业用户开辟了网吧专区和企业专区，针对网吧和企业的各种业务应用提供了简单可靠的优化配置方案。MS2326交换机广泛应用于企业、酒店、网吧等细分行业，可为用户提供高性能、低成本、可网管的全千兆安全解决方案。 通过以上四元绑定，可以彻底根除arp欺骗的各种变种。规定了每一个网口只有正确的ARP数据可以通过。而异常数据不可能通过交换机的物理端口。这样通过硬件方案解决Arp欺骗，应该是以后网络改造的一个趋势。最重要的是可以通过集中控制单元，对所有的交换机进行集中控制，有效地提高了工作效率，所有状态一目了然。同时，以四元绑定为基础，该产品内置的防火墙机制，会有效的阻止单机大批量发包。只要检测到异常发包，就会第一时间封锁该端口，从而达到控制SYN等洪水攻击的效果。通过这种方案的部署，最终能够实现的就是惩罚机制能够“责任到机”，而不会影响其他机器。一颗老鼠屎，再也不会毁了一锅汤了。相信随着网络