三：淮阴师范学院应用环境分析

　　淮阴师范学院校园网主干速率为为1000M，中心交换为具有三层路由功能的Cisco Catalyst 6509交换机，利用具有强大访问控制列表功能的Cisco 3640路由器作为边界路由上联CERNET江苏淮安主接点。

　　众所周知，如果Internet用户可以任意主动连接校园网内用户的话，从网络安全角度考虑的话就危害无穷了，因为Internet恶意用户可以利用木马、蠕虫病毒等一些基本的黑客技巧就会破坏校园网的安全，严重时甚至会导致校园网的瘫痪。鉴于上述原因，我们在网络边界路由器（CISCO3640）上采取基于路由器安全策略、公共服务器安全策略和用户主机安全策略的报文过滤技术，其主要表现形式就是基于报文访问控制的路由访问控制列表ACL访问控制列表。

ACL控制策略图

　　access-list 102 permit tcp any host 202.195.x.1 eq smtp（开放邮件服务器25端口）
　　access-list 102 permit tcp any host 202.195.x.1 eq pop3（开放邮件服务器110端口）
　　access-list 111 permit tcp any eq smtp host 202.195.x.1（开放MAIL服务器与其他邮件服务器通讯端口）
　　access-list 102 permit tcp any host 202.195.x.2 eq www（开放WWW服务器80端口）
　　access-list 102 permit tcp any host 202.195.x.3 eq domain（允许DNS服务器解析管辖域）                                                                  
　　access-list 102 deny any host 202.195.x.1（拒绝外部用户对于邮件服务器其余端口的访问）

    用户主机安全策略

access-list 102 deny ip 0.0.0.0 0.255.255.255 any（拒绝全网络IP源地址）
access-list 111 deny ip 192.168.0.0 0.0.255.255 any（拒绝私有IP源地址）
access-list 111 deny ip 127.0.0.0 0.255.255.255 any（拒绝回环IP源地址）
access-list 111 deny ip 169.254.0.0 0.0.255.255 any（拒绝DHCP自定义IP源地址）
access-list 111 deny ip 224.0.0.0 15.255.255.255 any（拒绝组播IP源地址）
access-list 111 deny tcp any any eq 135
access-list 111 deny tcp any any eq 137
access-list 111 deny tcp any any eq 138
access-list 111 deny tcp any any eq 139
access-list 111 deny tcp any any eq 445
access-list 111 deny tcp any any eq 593（拒绝访问135、137、138、139、445和593端口，用于控制Blaster蠕虫的扫描和攻击）
access-list 111 deny udp any any eq 1434（拒绝访问1434端口，用于控制 Slammer 蠕虫的传播）
access-list 111 permit tcp any any established（允许内网用户主动对外建立连接后返回的数据包通过）

    IP地址防盗策略

　　在当今的TCP/IP网络系统中，特别是按IP流量进行计费的CERNET网络，由于费用是按IP地址进行统计收费的，因此许多用户为了逃避网络计费，使得IP地址盗用现象十分普遍，已经严重地影响了网络的管理，对网络管理人员及网络用户带来了极大的麻烦，成为网络管理中的一大难题。

　　目前，IP地址盗用主要有单纯修改静态IP地址和成对修改IP-MAC地址两种方式，目前常用的防范技术主要有划分VLAN、扫描网络设备的ARP表以获取IP地址和MAC地址的对应表与事先登记的合法对应表比较，但是都不能从根本上遏制IP地址的盗用。针对此问题，笔者依据TCP/IP协议栈的层次结构原理，结合日常管理经验，针对不同的IP盗用方法，在不同的层次采用不同的方法来防止IP地址的盗用。