SCI论文(www.lunwensci.com):
摘 要: 网络安全管理中可以考虑运用绑定互联网地址(IP)、物理地址(MAC)和交换机连接端口(PORT),使人、计 算机和网络接入设备一一对应,以达到限制非授权使用校园网络的目的。IP-MAC-PORT 绑定安全策略相对于职业院校日常管 理特点过于严格,应用时耗费资源大,需要在网络安全要求高的部分场所选择使用。
关键词:IP 地址绑定;MAC 地址;端口 PORT;安全策略
Application Analysis of IP Address Binding Security Strategy in Vocational Colleges
ZHANG Shunli
(Baiyin Institute of Mining&Metallurgy Engineering, Baiyin Gansu 730900)
【Abstract】: Binding Internet address (IP), physical address (MAC) and switch connection port (PORT) can be considered in network security management to make people, computers and network access devices correspond one by one, so as to limit unauthorized use of campus network. Adopted in the daily management at vocational colleges, the IP-MAC-PORT binding security strategy are too strict, and the application consumes a lot of resources. It needs to be used in some places with high network security requirements.
【Key words】: IP address binding;MAC address;access PORT;security strategy
2020 年新修订的《职业院校数字校园规范》要求, “对非授权设备私自连到内部网络行为进行检查和限制, 对内部用户非授权连到外部网络的行为进行检测和限 制”(8.2.2.2 网络安全防护)。而要设备管理中做到这 一点,网络管理员就可能考虑关闭交换机的 MAC 地址 学习功能,让计算机只能从网络唯一允许的位置接入网 络,否则交换机不给予数据转发,即把交换机连接端口 (PORT)与物理地址(MAC)静态绑定,同时根据设 备所在的物理环境与使用者的关系,把代表计算机的物 理地址与代表用户的互联网地址(IP)静态绑定 , 有了 这样的两个绑定, 就把人、计算机、接入设备端口(简 称人、机、口)一一对应关系作为正常使用网络的基本安全策略要求,从系统应用到物理连接两个层面尽可能 避免了利用 ARP 协议进行的非法操作 [1]。
1 IP-MAC-PORT 绑定的安全意义
网络用户特别是无线接入用户的大量增加,使得对 接入用户的身份进行认证显得越来越重要,身份是保证接入用户为合法使用网络的安全用户的基本安全需要。 网络用户的身份认证一般参照 IEEE 推荐的 802.1x 协 议进行 [2] ,认证过程基于端口级别的鉴权认证模式。请 求认证的网络用户用 IP 地址表示, 登录设备提出接入 网络的请求时,首先需要以包含 MAC 地址的请求设备 标识特征,向网络接入设备(交换机)请求进行接入身 份验证,接入验证通过后,再由网络接入设备把包含请 求设备 IP 和 MAC 的完整标识特征,以及接入设备的 标识特征一并转发给登录设备(服务器或交换机),进 行下一步验证,如果验证为合法用户,登录设备则根据 相关策略对网络用户进行业务属性授权,登录安全认证 结束 [3]。
在上述用户身份认证过程中,表示用户的 IP 地址 经常是通过 DHCP 服务随机获取的,具有很大的不确 定性,这就给网络接入设备的认证带来了很大的困难, 为避免合法用户不能接入网络的情况发生,接入设备的 默认认证模式设置为无条件的 anyone 用户为合法 [4],即在 DHCP 服务模式下没有对用户接入网络设定条件, 这就给非法用户接入网络打开了大门。如果网络管理人 员把 IP 对应网络用户进行分配和管理,使 IP 和网络用 户一一对应, 这样就可以把 IP 作为验证人员是否合法 的条件,同时建立正在使用的安全的 IT 设备的 MAC 地址列表,这样也可以把验证接入设备 MAC 是否在已 知的安全设备列表当中作为安全策略,再通过交换机把 接入设备的 MAC 地址唯一地与某一合法 IP 进行绑定,这就大大降低了非法用户接入网络的风险,但这个方 法保证安全的前提是用户 MAC 地址与 IP 绑定的对应 关系是保密的,一旦 MAC 地址与 IP 绑定的对应关系 泄露,单有 MAC 地址与 IP 绑定的方法就不能保证接 入网络的安全性。而非法用户可以很容易从 IP 地址与 MAC 地址的转换协议即 ARP 协议的通讯过程中,得到 IP 地址与 MAC 地址对应关系。如果在 MAC 地址与 IP 绑定的基础上,再把用户设备的 MAC 地址与接入设备 端口 PORT 进行绑定,这样那些不是从合法接入设备端 口发起的通讯请求在身份认证中就可以轻易识别出来, 从而避免了用户 MAC 地址与 IP 绑定信息泄漏后产生 的风险,这就是 IP-MAC-PORT 绑定在用户接入身份验 证中的安全意义。
2 IP-MAC-PORT 静态绑定后网络管理存在的问题
唯一的 MAC 地址、唯一的 IP 与唯一的接入设备 端 口 PORT 绑 定, 就 是 IP-MAC-PORT 静 态 绑 定, 静 态绑定明显提高了网络安全水平,但也存在一些问题。
(1)应用 IP-MAC-PORT 绑定安全措施的资源耗费 问题。建立人、设备、端口的静态绑定操作要在交换机 上进行,这对于许多信息中心人员只有个位数的职业院 校来说是一件耗费巨大的工作,上百台在不同楼宇的不 同楼层的交换机需要一一连接、分别下达指令,而下达 指令所用的人、设备、端口的对应关系也需要人员进行 搜集和整理。对应关系表格要包括人、设备、端口的各 方面重要信息,一般人员还不一定具备很快获取相关信 息的权限和知识,因此信息中心工作人员还要介入所有 部门的相关信息采集工作,这就需要在职业学院建立获 取有关信息的合作机制,这就给 IP-MAC-PORT 绑定安 全措施实际运用效率带来了挑战。获取交换机设备信息和下达指令时,为避免相关操作对网络的影响,必须要 选择非工作时间来进行操作,必要的人力资源成本增加 也是要必须解决的问题,而在公办院校增加人力成本也 是一个难题。
(2)人员、设备变动引起的绑定关系变动后,相 关部门进行修正绑定参数的工作流程问题。IP-MAC-PORT 绑定使教职人员、IT 设备(一般是计算机)和 网络接入端口有了确定的对应关系,增加了网络使用的 安全性,但这种安全性是建立在人员、设备、网络状态 三者稳定不变的基础上的,一旦其中任何因素发生了变 动,就必须取消原来的绑定,建立新的绑定对应关系。 比如,人员的工作场所发生了变动,使用了新的设备, 那他的 IP 就与新的 MAC 地址和新的网络端口建立了 新的对应关系,这时如果网络管理人员没有及时取消原来绑定并建立新的绑定, 代表他的 IP 在新的设备登录 网络时就不能通过安全认证,从而影响到人员对网络的 正常使用。那么谁来把人员工作场所的变动信息提供给 网络管理人员呢?无非就是三种可能:工作场所变动的 工作人员原来所在的管理部门和当前所在部门以及他自 己,个人提供变动信息工作流程上简洁、高效,但又产 生了新的安全问题,对应关系变动的管理部门提供变动 信息避免了安全风险,但增加了部门的工作量,如果是 跨部门变动后工作场所变动,需要两个不同的部门分别 提供取消绑定和建立绑定的相关信息,这就涉及到三个 部门相互协调的工作流程问题。很显然,严格绑定的 IP-MAC-PORT 的对应关系降低了网络管理效率。
(3)日常网络维护的工作量问题。人员、设备、网 络状态的变动必须及时反映在与 IP-MAC-PORT 绑定有 关的安全认证的数据库中,以保证人员对设备和网络的 正常使用,这就要求学校有足够的技术力量,及时应对 人员及设备的变动带来的 IP-MAC-PORT 绑定、取消的 相关工作。在学校规模庞大和人员、设备流动频繁时, 即便使用交换机远程管理技术也会有很大的日常管理压 力。除了对技术资源的数量要求, IP-MAC-PORT 绑定 后网络管理的质量还取决于网络管理人员的技术水平, 如果因为网络管理人员的技术问题导致变动信息不能及 时操作完成,势必会影响对应关系变动信息修正的及时 性要求。正如前面指出的,人员、设备、网络状态变动 信息的快速传递要求,本身就是在工作量增加后对学校 现有工作机制的运行效率的真实测试,具有一定的不确 定性。网络管理人员数量、技术水平以及信息传递机制 各种因素叠加在一起,明显增加了 IP-MAC-PORT 绑定 后的网络日常管理工作的难度。
(4)公共机房管理与 IP-MAC-PORT 绑定的关系。 公共机房绑定 IP-MAC-PORT 实际上就是在建立 IP 与 学生一一对应的基础上,对学生上机的机位进行了固 定,这对教学管理是有好处的,一方面能够督促学生按 照老师要求学习指定内容,同时也有利于对学生一定时 间内使用计算机的状况进行合理评价。但在公共机房上机学生的很多, 是否有足够的 IP 与学生一一对应本身 就是个问题,另外每台计算机人员流动性巨大,如果上 课时计算机出现了不能马上排除的故障,而使用相关课 程软件又必须进行身份认证时,就出现了身份不能认证 而无法使用课程软件的问题。另外,职业院校的公共机 房还承担了大量的社会化培训和考试,要求参加培训和 考试的人员无须网络安全认证就可以在一台计算机上登 录相关考试系统,此时 IP-MAC-PORT 绑定的安全作用就限制了公共机房的“公共”使用的含义,而在公共机 房改变 IP-MAC-PORT 绑定策略又使安全管理策略复杂 化,提高了信息中心网络管理的难度。
3 对 IP-MAC-PORT 静态绑定适用范围的建议
以上分析说明,职业院校网络管理人员应当根据应 用系统对网络安全的具体要求,对 IP-MAC-PORT 绑定 安全措施的适用范围给出建议,在合理发挥 IP-MAC- PORT 绑定安全措施作用的同时,避免严格网络安全措 施带来的负面作用。
(1)对于网络环境有涉密因素、系统保密要求高的 应用系统,如办公 OA、科研管理系统等, 可以直接运 用 IP-MAC-PORT 绑定安全措施, 保证设备 MAC、IP 和接入端口的一一对应,做到确定的人使用固定的设备 在指定的端口使用网络,一旦人、机、口三个因素有 任何一个发生变动就不能登录网络,这样可以从网络接 入、传输层面提供良好的网络安全保障。少量应用系统 使用严格的 IP-MAC-PORT 绑定策略减少了网络管理的 成本,使网络日常管理质量有了保障。
(2)对于职业院校日常管理中使用频繁,经常需要 在不同网络环境登录使用的应用系统,如教学管理系 统、学生管理系统等,可以考虑改变端口绑定策略的部 分要求,只绑定互联网地址 IP 与物理地址 MAC,而不 绑定交换机端口 PORT,这样只要是确定的人在固定的 设备上网就达到安全验证要求,使需要在不同环境登录 相关应用系统的管理人员使用网络时,有了一定的灵活 性。而需要更换设备在固定场所使用网络的人员,可以 考虑绑定 IP 到固定的 PORT 端口,而不限定 MAC 的登录条件,这样使用多个设备登录网络时也有了一定的安全保障。
(3)对于使用人员多样化的网络环境,如校友管理 系统、校企合作管理系统,或设备使用功能多样化的 物理环境像公共机房、图书馆人机等,不建议采用 IP- MAC-PORT 静态绑定安全措施,而是采用其他方法来 保证网络用户的合法性,比如可以使用校园网络环境登 录统一身份认证的方法,只要使用管理系统的用户名和密码是合法的,网络身份安全验证就达到要求,这时网 络登录验证只在用户即人的层面进行,网络接入、传 输层面的设备、端口的安全认证不再进行, IP-MAC- PORT 一一对应不再作为用户合法认证的基本条件。
4 结语
不同网络协议提供的网络安全策略多种多样,理论 上可以保证基本的网络安全,但不加分析地在职业院校 中应用各项安全策略是不可取的。因为很多安全策略是 在相对理想化的分析条件下建立的,而职业院校网络管 理人员要面对的是复杂的、个性化的网络使用需求。虽 然“越严越好”经常是网络安全要求的理论分析结果, 但满足职业院校师生对网络的实际需求才是网络管理人 员的工作目标,就是要找到同时满足网络安全要求和网 络使用便捷化要求的安全策略。以上对 IP 地址绑定安 全策略运用分析说明,根据职业院校网络安全管理的各 种实际问题,按照不同网络环境对安全的不同要求,合 理、适度应用 IP 绑定安全策略是职业院校网络管理人 员的一项重要工作内容。
参考文献
[1] 王群.网络攻击与防御技术[M].北京:清华大学出版社,2019. [2] 吴礼发,洪征.计算机网络安全原理[M].北京:电子工业出版 社,2020.
[3] 邱洋,王华.交换机与路由器配置[M].北京:机械工业出版社, 2020.
[4] 马常霞,张占强.TCP/IP网络协议分析及应用[M].南京:南京 大学出版社,2020.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/34604.html
