IP地址固定確保信息安全

自公司信息網(wǎng)絡(luò)建設(shè)20年來，在各單位局域網(wǎng)中，IP地址沖突不斷，不能完全有效管理終端計算機(jī)IP地址一直是客觀存在的問題，導(dǎo)致合法IP地址得不到保障。隨著企業(yè)和信息的發(fā)展，網(wǎng)絡(luò)信息安全越來越重要。IP地址若被盜用或欺騙,網(wǎng)絡(luò)上傳輸數(shù)據(jù)就可能被破壞、竊聽、盜用，造成無法彌補(bǔ)的損失。公司信息管理部門一直很重視IP地址管理工作，也出臺了相應(yīng)IP地址管理辦法，加強(qiáng)桌面安全管理系統(tǒng)客戶端部署工作實行實名注冊管理，辦公計算機(jī)實行固定IP地址。

因此如何固定IP地址，解決信息安全工作的技術(shù)支撐工作，成為當(dāng)前IP管理的主要任務(wù)。

公司當(dāng)前網(wǎng)絡(luò)現(xiàn)狀

公司網(wǎng)絡(luò)經(jīng)歷了三次大的信息網(wǎng)絡(luò)建設(shè)和改造，現(xiàn)結(jié)構(gòu)為核心、匯聚、接入的標(biāo)準(zhǔn)三層網(wǎng)絡(luò)架構(gòu)，關(guān)鍵節(jié)點和核心匯聚全部實現(xiàn)了雙鏈路雙路由，網(wǎng)絡(luò)覆蓋公司所有二級單位，共建設(shè)4個核心、38個匯聚和450個接入，網(wǎng)絡(luò)用戶11000個（含非windows終端）。

公司網(wǎng)絡(luò)上運行了35套集團(tuán)公司統(tǒng)建和42套分公司自建應(yīng)用系統(tǒng)。辦公網(wǎng)的建設(shè)及運行為公司各項應(yīng)用系統(tǒng)的高速建設(shè)、運行及應(yīng)用打下堅實的技術(shù)，為公司安全生產(chǎn)和經(jīng)營管理業(yè)務(wù)正常、高效運轉(zhuǎn)提供了有力支撐。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

當(dāng)前公司IP地址管理的辦法，由科技信息處授權(quán)運維單位信息技術(shù)公司進(jìn)行網(wǎng)段規(guī)劃，各單位將網(wǎng)段具體IP分配到各計算機(jī)。公司和部分單位也出臺了相關(guān)的IP管理規(guī)定，不能隨意分配和更改IP等，由單位網(wǎng)絡(luò)管理員統(tǒng)一分配和修改。但由于外協(xié)、外部單位計算機(jī)、用戶由于各種原因修改IP等導(dǎo)致IP地址沖突不斷，合法IP地址不能完全得到保障。

計算機(jī)總數(shù)量及準(zhǔn)確性是衡量信息網(wǎng)絡(luò)大小和運維質(zhì)量的指標(biāo)之一。信息管理部門和信息運維單位不能正確掌握各單位及公司計算機(jī)總數(shù)量。各單位計算機(jī)數(shù)量統(tǒng)計上報7000臺左右，根據(jù)桌面安全SEP服務(wù)器統(tǒng)計為9180臺，桌面安全VRV服務(wù)器統(tǒng)計為10100臺。經(jīng)分析，桌面安全系統(tǒng)統(tǒng)計數(shù)據(jù)有冗余和不可控數(shù)據(jù)，而各單位上報存在漏洞。

在另一方面，IP管理出現(xiàn)問題會導(dǎo)致信息安全存在較大隱患。由于IP不能完全進(jìn)行管理，IP地址盜用現(xiàn)象比較多，IP盜用可能造成網(wǎng)絡(luò)攻擊、數(shù)據(jù)丟失等情況，同時一旦出現(xiàn)信息安全事故，如果事故終端計算機(jī)修改IP，將會增加定位事故終端計算機(jī)的難度，因此信息安全存在隱患。

IP地址固定技術(shù)研究

在公司網(wǎng)絡(luò)體系建設(shè)中，由于各種各樣的原因，從技術(shù)和管理上都還存在著一定的不足，主要體現(xiàn)在流量分析、桌面計算機(jī)IP管理以及網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理等幾個方面。

當(dāng)前業(yè)界IP固定技術(shù)有多種，就總體來說分認(rèn)證技術(shù)、網(wǎng)絡(luò)技術(shù)、軟件綁定三大方式。撥號方式認(rèn)證固定、網(wǎng)絡(luò)設(shè)備固定和軟件固定。

圖2 3DHCP Snooping技術(shù)原理

1.認(rèn)證技術(shù)

這種方式主要特點是從在網(wǎng)絡(luò)設(shè)備里啟動認(rèn)證方式，終端進(jìn)行撥號由服務(wù)器進(jìn)行認(rèn)證，通過認(rèn)證或計費系統(tǒng)完成IP固定，如業(yè)界的PPPOE、802.1X等統(tǒng)一身份認(rèn)證方式。

該種認(rèn)證方式由于需要配置服務(wù)器、網(wǎng)絡(luò)改造規(guī)模大，適合于運營商或初建網(wǎng)絡(luò)時統(tǒng)一配置，在網(wǎng)絡(luò)建設(shè)完畢后改造不適合。

2.網(wǎng)絡(luò)技術(shù)

在運行的網(wǎng)絡(luò)設(shè)備里啟動交換機(jī)IP固定相關(guān)技術(shù)，如 DAI 、 DHCP Snooping等來實現(xiàn)，同時可以防止入DDoS、DHCP欺騙等網(wǎng)絡(luò)攻擊，解決網(wǎng)絡(luò)安全問題。本方法適合于在大型的較復(fù)雜的網(wǎng)絡(luò)。

在網(wǎng)絡(luò)設(shè)備里直接完成交換機(jī)端口、MAC地址和IP地址三者綁定的，本方法適合于具有綁定功能的三層接入交換機(jī)的小型局域網(wǎng)。

在網(wǎng)絡(luò)出口，通過防火墻和代理服務(wù)器結(jié)合完成設(shè)備綁定，本方法也適合于小型局域網(wǎng)。

為減少沖突域，網(wǎng)絡(luò)管理者從IP規(guī)劃管理中通過減少掩碼、縮小廣播域來減少沖突范圍，本方法不能完全解決IP固定問題。

3.軟件綁定

本方法采用MAC地址綁定軟件或自身操作系統(tǒng)將IP和MAC進(jìn)行固定，也可通過第三方軟件，如VRV、網(wǎng)絡(luò)執(zhí)法官也能完成綁定，但由于受軟件和操作系統(tǒng)局限性限制，不適合大型網(wǎng)絡(luò)。

思科設(shè)備IP地址固定技術(shù)

經(jīng)過研究分析，在公司匯聚網(wǎng)絡(luò)設(shè)備虛擬一個DHCP服務(wù)器，啟動DHCP Snooping（DHCP監(jiān)測）功能和ARP檢測功能，DAI以 DHCP Snooping綁定表為基礎(chǔ)，對于沒有使用DHCP服務(wù)器的計算機(jī)采用靜態(tài)添加ARP Accesslist實現(xiàn)。其原理圖如圖2所示。因此DAI通過建立和維護(hù)一張DHCP Snooping綁定表來過濾不可信任區(qū)域的DHCP報 文（如 ARP Accesslist表單外沒有被固定IP的計算機(jī)）。

通過DAI可以控制某個端口的ARP請求報文數(shù)量及端口應(yīng)用檢測，防止DHCP欺騙攻擊、網(wǎng)絡(luò)中DDoS攻擊，同時為防止錯誤信息過多以致端口閉塞。

中興設(shè)備IP地址固定技術(shù)

公司的中興設(shè)備是在上節(jié)ARP和DAI機(jī)制基礎(chǔ)上關(guān)閉VLAN接口ARP自動學(xué)習(xí)功能，在VLAN下添加“permanentarp”數(shù)據(jù)完成，非“permanentarp”數(shù)據(jù)則作為“untrust”數(shù)據(jù)被過濾。該方法是操作簡便，同時有效遏制ARP病毒對網(wǎng)絡(luò)的影響。

華三設(shè)備IP地址固定技術(shù)

H3C交換機(jī)在公司應(yīng)用不多，仍然要啟動DAI功能和DHCP Snooping功能，防止DHCP和ARP攻擊，同時關(guān)閉自學(xué)習(xí)功能“undo arp check enable”，對 于信任的端口配置為“arp inspection trust” 不 對ARP進(jìn)行檢測。

IP地址固定技術(shù)確定

公司網(wǎng)絡(luò)特點是設(shè)備多、分布廣、單位多和用戶基數(shù)大，網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)清晰，是嚴(yán)格三層網(wǎng)絡(luò)架構(gòu)。根據(jù)公司網(wǎng)絡(luò)具體情況，同時考慮投資、系統(tǒng)安全、可維護(hù)性等三種因素，公司IP固定技術(shù)采用在通過網(wǎng)絡(luò)技術(shù)來實現(xiàn)公司IP固定。

同時針對多品牌多類型網(wǎng)絡(luò)設(shè)備，分類找出解決方案，開創(chuàng)性提出僅在匯聚層實現(xiàn)IP地址綁定，建立公司計算機(jī)實名庫管理流程和準(zhǔn)入流程，保障了IP地址固定技術(shù)的推廣實施。

本科技項目推廣應(yīng)用到公司區(qū)域各單位的計算機(jī)和非Windows終端。通過實施，建立準(zhǔn)確的公司計算機(jī)實名庫，通過管理流程，實現(xiàn)實名庫與IP固定工作的有機(jī)結(jié)合，同時自主研發(fā)公司IP實名庫管理業(yè)務(wù)系統(tǒng)，實現(xiàn)自動生成腳本、流程化管理。

IP固定技術(shù)在信息安全中有很大應(yīng)用，主要體現(xiàn)在以下兩個方面。

通 過DAI和DHCP Snooping技術(shù)的使用，DAI檢查 DHCP Snooping綁定表中的IP和MAC對應(yīng)關(guān)系，無法實施中間人攻擊，可以預(yù)防來自油田內(nèi)部計算機(jī)的DHCP欺騙攻擊、網(wǎng)絡(luò)中DDoS攻擊，降低了由于信息安全問題造成的風(fēng)險，間接保護(hù)了公司數(shù)據(jù)資產(chǎn)。

通過研究技術(shù)的推廣，主要在深入推進(jìn)桌面安全管理、強(qiáng)化計算機(jī)準(zhǔn)入機(jī)制、規(guī)范計算機(jī)入網(wǎng)及管理流程、通過IP溯源能力完善了的信息安全溯源機(jī)制，提升信息安全管理，加強(qiáng)了公司計算機(jī)及網(wǎng)絡(luò)管理能力。

結(jié)語

IP地址固定技術(shù)的應(yīng)用，是公司信息化的一場革命，一方面解決了公司的計算機(jī)用戶擁有的專用的合法IP的愿望，另一方面隨著IP地址固定技術(shù)的實施，同時也強(qiáng)化了公司網(wǎng)絡(luò)安全。

通過IP地址固定技術(shù)研究及在公司信息安全中的應(yīng)用項目研究和實施，強(qiáng)化網(wǎng)絡(luò)安全和IP地址固定，使得公司桌面安全、安全域以及信息系統(tǒng)安全融為一體，信息安全工作上了一個新臺階。