网络安全管理基础数据提供

在用户认证过程中，网络设备和客户端会自动将部分基础用户数据发送到认证服务器，形成后期安全管理的基础数据，主要可以提供的数据如表。

通过上述信息，可以在网络发生安全事件时及时定位事件源的物理和逻辑位置，迅速排除网络故障。

学生上网管理

学生上网过程中，主要对学生上网的时间及上网采用的地址进行控制。港湾公司提供如下的方法解决上述问题：

在地址管理方面，对于DHCP方式，可以设定用户必须使用DHCP方式获得IP地址，如果用户计算机上配置静态IP则不能通过认证，这样就确保了网络中用户的IP都是统一由DHCP Server来分配，从而避免了IP冲突，同时在必须使用DHCP的情况下，港湾公司的部分交换设备可以通过统一的配置避免其他用户架设的DHCP服务器分配IP地址，导致网络地址混乱；对于静态IP地址方式，港湾的ENet可以设定某帐号（组）必须使用静态IP地址，如果用户计算机上没有配置静态IP则不能通过认证，这种方式通常是学校为每个学生分配了一个固定的IP，并且与其帐号绑定在一起，这样也确保了一个IP对应一个帐号，避免了IP冲突。

在用户上网时间管理方面，可以设置用户缺省登陆时间，如周一到周五是08:00到23:00，周六、周日全天可上网。用户在合法时间内是可以自由登陆的，而在上网时间段外，认证则不能通过，在合法登陆时段截止时，系统会自动强制用户下线，并且将登陆失败和下线要求提示给用户。该功能是专门针对校园网学生宿舍上网管理开发的，可以限制用户在宿舍只能在8:00到11:00之间上网，而且进行MAC绑定或IP绑定，而到实验室上网时则可以不进行上述的限制。

易用性

港湾的USS系统整合了多种功能，如卡用户支持等等。同时对用户开户、地址信息登陆及用户自理等功能的易用性做了专门的优化，尽量简化用户的工作量。

网络支撑系统NSS（Network Support System）

在网络管理方面，港湾公司除去提供基本的SNMP和RMON管理外，主要是在安全基础数据采集及网络故障诊断两个方面提供了更多的方法。

基于Netflow的网络安全数据采集

NetFlow可以按照端口/源IP/VLAN ID等方式对数据包统计IP流量，同时，通过提取IP包头和IP数据部分（TCP 和UDP 头）对每个数据包进行分析以获取相关信息。在整个处理过程中，NetFlow需要获取并分析每一个数据包，然后将分析结果发送到服务器，最后在服务器端完成进一步的数据汇总。

港湾网络的全线三层交换产品可以提供Netflow功能，辅助收集网络安全基础数据。

电缆故障诊断

港湾网络提供的μHammer2948/3550E产品和FlexHammer5210系列产品可以进行直接的电缆故障诊断，对电缆故障点定位误差小于1M。

基于短信的故障通告系统

港湾网络可以提供基于手机短信的故障通告系统，使管理员及时准确地了解网络的故障和故障发生地点。

安全支撑系统SSS（Security Support System）

伴随着网络的发展，网络安全问题也日益突出，主要的安全问题如下：

通过发送特定文件感染主机，使主机开始不断通过邮件/MSN消息等方式向网络中发送流量，导致网络瘫痪。此种攻击方式往往可以通过防病毒软件和IDS系统进行检测。

向服务器/网络设备发送大量业务请求报文，导致服务器处理能力不足，或网络带宽不足，从而使业务中断或网络瘫痪。此种攻击方式可以通过防火墙或IDS进行监控，对服务器群提供保护。

攻击主机特定TCP/UDP端口，利用操作系统漏洞感染主机，导致主机不间断扫描其他主机，并对其完成感染，从而完成自我复制，由此引发网络流量过大而瘫痪。此种方式可以通过ACL访问控制关闭相应端口来解决。

不断向主机/网络设备发起TCP连接或ICMP请求，导致设备网络资源耗尽，停止服务。可以通过限制TCP半连接数量进行控制。

可以看出在网络安全中主要有两个部分，上述攻击手段中，网络主要变化是流量的改变，同时对网络安全的控制主要是通过对流量的限制和对特定目标端口的访问限制来实现。网络中攻击方的主要表现有： 同一主机不断变换自身地址（MAC/IP）发送网络流量；同一主机不断变换目标地址（IP）发送网络流量，正常情况下每秒目标IP不超过5个；网络中TCP半连接数量异常；网络中某目标TCP/UDP端口流量异常及网络中某目标IP流量异常。  

通过上述分析，可知港湾网络的SSS系统对网络安全的控制分成如下步骤完成：

第一步，入网即认证，通过对源MAC/IP的绑定，限制网络中变换源MAC/IP的攻击方式发生，将这种攻击屏蔽。同时避免无网络需求的主机由于连在网络上而对网络进行攻击。

第二步，动态ACL和速率控制下发，在用户认证过程中，SSS系统可以自动将最新的ACL下发到网络接入设备中，使网络中已知对某操作系统或应用系统漏洞的攻击数据无法发送到网络中，确保网络中仅剩未知的漏洞攻击和变目标IP/DOS等少数攻击方式。

第三步，通过NetFlow对网络流量改变过大及IP/ICMP/TCP链接发起数量异常的用户源IP发起告警，用户在服务器端可以预定告警级别。对于预定安全级别达到一定等级的，SSS系统可以自动查询用户来源，通过802.1x或动态ACL下载方式拒绝用户向网络发送数据。

第四步（可选步骤），如果网络中部署了港湾公司的BigHammer6800系列交换机，并且安装了防火墙模块和IDS设备，可以通过IDS检测到服务器群的被攻击状况，并且自动与防火墙配合来断开服务器所受攻击。

通过上述步骤，SSS系统可以很好地保证网络安全，并且自动地处理网络的异常情况，保证网络的畅通。
                                                                                                            《中国教育网络》05年4月刊