用户关心的一些安全策略

用户隔离

在小区接入网中,用户之间的互访流量比较少,大部分的通信流量都发生在用户和网络中心之间,如:用户和视频点播服务器之间的通信流量,用户通过中心交换机访问Internet 的通信流量等,大部分的通信流量都涉及用户的私人信息。

为防止非法用户利用共享介质进行网络窃听,最有效、最简单的方式就是隔离每个用户的通信端口,使其相互之间在二层不能进行互访,如要实现互访则到三层进行控制。隔离用户端口主要可以采取VLAN 隔离的方式。在利用VLAN 方式实现用户隔离中,给每个用户端口都划分一个VLAN,则用户端口之间阻断广播

流量,不能互访。

?防止多个用户通用一个账号

当多个用户购买一个账号,互相通用。可以采用多种方式来限制这种情况发生:如按照流量计费或者是从技术上防止等。在技术上,认证服务器实现了单用户管理。即:一个账号只可以给一个用户使用,这账号在使用的时候,会被认证服务器锁定,其他的用户将无法使用同样的账号上网。这样就根本上杜绝多个用户同时使用账号的可能性。

?防止DHCP 攻击

由于在DHCP 过程中,DHCP 服务器可以记录下用户的MAC 地址和相对应的IP 地址。如果用户在这个过程发起攻击,因为用户的IP 地址已经分配,当用户的DHCP 请求到达认证服务器,认证服务器会查到其源MAC 地址对应的IP 地址,不会在为用户进行地址分配,这样就避免了恶意地址分配请求;另外,也存在被追查到的可能性,因为其个人信息会记录在案,如果发生攻击可以很好的追查到用户。

防止地址盗用

对于地址的盗用可以采用绑定技术来解决。要防止IP 地址的盗用,可以在交换机中将IP 地址和MAC 地址绑定在一起,以此来限制用户在登录网络时,只有IP 和MAC 地址同时满足预定义的参数时才可以访问网络。要防止MAC 地址被盗用,需要使用端口绑定技术,就是只有当用户的IP 地址或MAC 地址与交换机的物理连接端口同时满足预定义时,用户才可以享用网络的资源。绑定技术将用户进入网络的判断依据从单一的IP 地址扩展成IP地址、MAC 地址、交换机物理端口、网络协议等多个条件同时满足,可以因此彻底杜绝地址盗用的问题。

XML 地图 | Sitemap 地图