思科DHCPSnooping技術的網絡安全管理方案

92196部隊 胡冬英

隨著網絡規模擴大和拓撲結構的適當調整，IP地址更多的是以動態分配形式為主。不過實際生活中存在許多的IP地址盜用、ARP病毒攻擊等現象，究其原因就是用戶比較多、地理位置較為分散以及隨機性太強，進而造成網絡安全管理工作的巨大困擾。本文結合思科DHCP Snooping(DHCP 監聽)、DAI(ARP 檢測)、IPSG(IP 源地址防護)等技術探究合理的網絡安全管理方案。

21世紀以來，互聯網技術日益更新，在為人們帶來許多生活便利的同時，還隱藏著網絡安全的隱患。我們急需對網絡安全情況引起重視，在享受網絡的便利同時提高防范心理。那么，如何解決這一安全問題呢？要始終堅持“安全第一，預防為主”的指導策略，做好前期防范工作和事中援救事宜，根據預測、分析與防治工作出具應急預案，將可能出現的網絡安全問題的解決處理辦法的重點落在準確性與便捷性上，提高應急處置能力，最大限度地減少網絡安全危機的發生及其不良后果。

1 網絡安全日常管理

日常管理是網絡安全工作的基礎，改進平時的管理，必須不斷增強安全防范意識：網絡管理員和所有員工都要高度重視網絡安全，時刻保持警覺，決不松懈，共同為網絡筑起一道“防護墻”。其日常管理有以下基本規則。

（1）要確保內部局域網和外網嚴格執行物理隔離。對局域網中的每一個用戶來說，在進入到局域網之前，系統必須進行補丁下載，并且在進入到局域網之前對病毒進行殺毒。每臺PC都要經過實名認證，并將IP地址和MAC地址相關聯。

（2）要安裝殺毒軟件：每個網絡服務器、電腦等設施對有關殺毒軟件的配備上是具有必要性的，使用者在固定周期內進行軟件升級和殺毒操作。在緊急情況下，客戶使用端口會被迫進行升級與殺毒操作。

（3）要做好密碼設置工作：指定計算機設備，如局域網中連接外網的計算機服務器、門戶網、網絡服務器、遠程服務器等，必須設置不同的登錄密碼，這一密碼最好的設置是由數字、26個英文字母及標點符號構成，長度為12位數，定期刪除和更換設備的登錄密碼。

（4）對一些核心的設施和體系上盡量不使用相同的登入名和密碼，軟件的連接密碼和開機密碼也不能一樣。登錄名盡可能不使用admin。

（5）要做好數據備份工作：在一切正常的情況下，外網計算機不存儲關鍵數據，中國禁止存儲機密的商業數據和企業內部參考數據。

（6）要保存并分析重要日志和記錄：需要不少于留存有90天的網絡使用行為管理、入侵檢測記錄。相關負責人員時常查閱及評析相關記錄，以確保網絡安全。

2 關鍵技術：Snooping

Snooping(DHCP 監聽)屬于思科公司的一種具備DHCP安全特性的技術，主要應用對象是交換機。待到交換機啟動該特性之后，會對網絡之中存在的用戶DHCP報文予以監聽，從而構成DHCP監聽綁定表。該表格主要是由報文檢測和IP源地址防護技術的運用供應重要信息。

指的是DHCP報文中存在的中繼代理信息選項，主要應用在IPSG技術使用時。一旦DHCP客戶端將地址請求報文經由路由器和交換機等插入Option82選項，Option82在內容上涵蓋了請求地址主機的MAC地址、連接主機的端口號，假使DHCP Server對Option82予以支持，那么就能夠遵照Option82包在內的全部信息都能夠分配到IP地址。假使DHCP Server對Option82不支持的話，那么就應當將DHCP Request包丟棄掉，進而主機也就得不到IP地址了。

DHCP Server回應報文經過整個中繼設備的時候，中繼設備會對回應包中存在的Option82 MAC地址和端口號是不是和最初插入的時候相一致，待到確認無誤之后就將有關信息刪除掉，以此對回應包轉發給對應的請求客戶機。如圖1所示。

圖1 Option82作用

3 基于Snooping技術的網絡安全應急措施

3.1 內部局域網安全應急措施

（1）網絡流量異常維護人員采取技術措施監視網絡狀況，發現造成異常的原因。如果發現由內部客戶終端設備引起的異常，應立即通知客戶，并確保其安全。如異常產生的原因來自外部網絡，則對相關源網絡立即封禁，并立即執行系統日志記錄工作。

2018年10月11日，在國家衛生健康委醫政醫管局指導的第四季改善醫療服務全國醫院擂臺賽東北賽區決賽中，盛京醫院參選案例“基于醫聯體區域協同護理信息化平臺構建延伸護理新模式”榮獲主題七延伸優質護理服務“十大價值案例”與“十大人氣案例”兩項大獎。

（2）網絡病毒爆發

針對網絡病毒的大規模爆發，一旦得到確認，就應立即采取一定的有效措施，合理控制病毒的爆發類型。①局域網分地區暴發病毒當局域網分地區爆發病毒時，應盡早查明病毒來源，并斷開相應子網絡，網管人員應立即采取有效措施進行處理（或通知相關企業，由網管人員跟蹤處理）。當能確保無病毒的安全情況下，子網絡就能再次啟動使用。②整個網絡出現病毒且局域網主要部分遭到破壞下，依照網管策略分析和明確病毒門類，然后切斷有關子網絡。在明確病毒出現較為危急的可能門類時，按照網絡的連接層更換設備慢慢縮小病毒源頭的門類，直到找到病毒的真正位置，清除病毒危害后，網絡才能重新啟動。

（3）病毒處理

發現計算機設備如網絡服務器和無線路由器、服務器防火墻上的病毒狀況。第一步，在有可能的情況下中斷網絡服務器的本地連接，避免病毒在局域網外擴散，關鍵網絡服務器立即打開備份數據機，確保業務流程的所有運行正常。第二步，審查網絡信息安全設施的相關記錄，像入侵檢測記錄、IPS等，評析去除病毒源頭，了解病毒來自于哪臺服務器、IP，從局域網中切斷病毒源網絡和終端設備，從源頭切斷病毒源，另外，發現網絡病毒源時，應立即關閉端口等措施來保護病毒。第三步是通知服務器用戶已經感染了病毒，并立即將其清除的技術解決方案，具體指導用戶殺滅病毒。

發現病毒后，對內網重要業務用機采取以下措施。第一步，中斷服務器的數據連接，立即打開備份數據機，確保所有業務流程正常運行，報告部門負責人，通知病毒來源所在部門領導。病毒檢測、檢查后系統執行補丁下載升級等（或具體指導）。第二步，數據分析系統的損壞程度，盡可能修復并保存重要數據信息。第三步，如果檢查后不能修復系統，如果備份信息出現關鍵數據情況下，需要再次安裝計算機操作系統及系統軟件等。最后，審查系統記錄，進行了解了解等，找出病毒來源，采取一定有效措施，避免再中毒。

首先發現病毒，立即中斷服務器數據連接，避免病毒外泄。其次審查明確病毒傳染緣由，使用有關技術策略，避免病毒又一次的加重。最后，網管人員出具把病毒消除的策略施展計劃，全面開展病毒檢測，采取相應的技術措施，防止再中毒。

3.2 外網安全應急措施

（1）外部局域網被攻擊

如網絡行為管控、WEB危險預防、WEB網絡服務器等受攻擊，造成無法正常運轉，應在第一時間采取相應的應對措施，并向部門主管報告，立即開展系統日志記錄工作。

若信息被惡意篡改，則有關人員應首先切斷受攻擊機械設備的物理數據連接（如果沒有任何不良影響，則必須在整個維修服務項目過程中應用到網絡上，可連續連接數據），分析記錄事件日志的攻擊惡性事件，調整安全設置。基于系統軟件記錄系統日志和事件日志，分析攻擊源，并與相關部門負責人進行協作。

篡改信息后，立即切斷相關信息的在線連接，盡快進行數據修復，以創建相關記錄查找原因。根據總體安全標準，由于其他不確定性因素造成的網絡癱瘓和信息篡改問題，可以結合實際情況相對地得到解決。

對應用攻擊的系統脆弱性、攻擊方式、全過程進行分析，并對攻擊的詳細地址進行分析，對系統軟件進行破壞程度評估，對系統備份和數據信息進行技術處理，存儲病毒事件日志，有針地性地面向網站薄弱環節進行維護，閉上攻擊端口號，按照注冊文件設計其顯示項目，使用專門的殺毒軟件，改進計算機設備和系統設置等。在病毒完全清除后，對發生的惡性事件進行徹底處理，發現機械設備配置、系統設置發生變化時，對局域網中備份數據進行新配置，并對計算機設備進行相對無線路由器、服務器防火墻、網絡服務器等的修復，必要時對數據庫進行查詢，在備份數據生成時，對設備進行校驗，并重新安裝系統等等。

（2）發生違反法律法規等安全事件

當學習發生泄露、企業外部網絡疏導攻擊等惡性事件發生時，應立即向主管人員報告，并由公司主管部門進行技術檢查和正確定位。當襲攻擊還在繼續時，必要的話管理員應先切斷企業對外的總入口，對數據信息泄漏器進行數據連接切斷等操作，查明攻擊事件造成的危害程度（或分析可能造成的危害程度），采取相應的應急措施。系統軟件中保存和出示網絡日志、網絡管理系統日志等，全力協助公安部門進行調查。

結語：本文結合思科DHCP Snooping(DHCP 監聽)、DAI(ARP檢測)、IPSG(IP 源地址防護)等技術探究合理的網絡安全管理方案。網絡管理員在對網絡和信息進行安全管理時，必須始終堅持安全理念，首先要確保觀念健全的安全管理方案，根據預測、分析與防治工作出具應急預案，將可能出現的網絡安全問題的解決處理辦法的重點落在準確性與便捷性上，提高應急處置能力；要嚴格堅持人防、物防、技防共同執行的準則，確保能有效地應對各項緊急事項，使得網絡管理正常進行。