网络划分之后，解决了各个终端的网络访问权限问题，不同的部门不同的人只能看到不同的业务。下一个问题就是网络的接入控制了，用来解决非公司授权设备接入公司网络和已授权但是安全性不足设备接入公司网络的问题。BTW，今天天气很糟糕，毛毛细雨一直在下，这种情况下我一般都会有点消沉，所以希望这一部分不会写得特别的糟糕——像前几篇那种的一般糟糕我还是接受的。

网络接入控制本质上非常的简单，客户端收集安全信息，发送到策略服务器，策略服务器将检查结果通知控制设备，控制设备根据结果做出具体的措施，准许或者拦截。各大厂家的不同之处在于如何拒绝安全检查没有通过的设备，在这一块上可以使用的协议太多，我试图从底层逐渐往上层的去介绍。大家应该还记得，网络划分中介绍过基于MAC地址的VMPS方案，显然这个方案可以在划分动态vlan的同时，还能够实现简单的网络接入控制。缺点也很明显，功能简单，它只能够做到区分授权设备和未授权设备，而不能对这些设备是否安全提供保证。另外，对网卡的MAC地址进行修改可以绕过限制。而且想要整个系统好用还需要做很多开发方面的工作。对于较大规模比较重视安全的企业来说，这不是一个好的选择。
...

现在可以从办公网络开始谈一点“狭义”的技术方面的问题了。我不想去谈办公网面临的风险，因为这些东西大家应该都比较清楚了，不外乎ARP欺骗、外部设备随意接入、PC补丁不全被网页挂马、测试服务器被映射到外网导致办公网被渗透诸如此类。直接从办公网的网络如何划分开始吧，介绍一个比较好的办公网络应该从何处入手开始构建。

在完全展开之前，需要先了解一点背景技术，主要是想描述一下802.1X协议，因为它在办公网络中的地位实在太重要了，从无线到有线、从VLAN划分到准入控制、从登陆认证到网络授权都难以避开它。802.1x是一个基于端口的认证和访问控制协议，通过EAP（Extensible Authentication Protocol）进行认证，控制一个端口是否可以接入网络。这里的端口可以是物理端口，也可以是逻辑端口，对于无线网络来说一个信道就是一个端口。802.1X工作在二层，加上EAP只是一个框架，可以由厂商实现具体的认证方法，因此具有非常好的扩展性，在办公网络的很多方案中得到应用。
...

谈技术之前，先说一下我对甲方网络安全的大观点，这是后面的基调。不喜欢看的，请果断跳过。

在甲方做事情，要习惯能用技术搞定的都不是问题，人才是问题。很多好的方案没有得到彻底的执行，很多完善的流程以及标准操作手册，都有人有意无意的跳过，打包好的经过安全加固的软件包，产品运维部门的人视而不见却喜欢耗时的自己编译，然后看着屏幕上一屏一屏的刷过的字幕发呆。当你对这些事情感到痛苦的时候，那就说明有一些甲方的经验了。解决这种问题，有五大法宝，策略、标准、流程、复核，以及行政处罚，五大法宝是互相协调不可分割的，贯穿其中的是良好的沟通。

早就想写一点关于互联网企业网络安全方面的文档。但是在开始之前，我先说说写这个的原因。

在北京雅虎两年，杭州阿里集团三年，进行了很多次面试、招聘。发现博士大多数是在做神经网络、人工智能，硕士一般在搞可信计算、linux下的溢出分析保护，当然，这几年多了些在实验室搭建几台ubuntu、XEN搞云计算的。本科生则以windows下面的二进制行文分析、基于snort改装的IDS之类项目为主。接触过实战的，主要分为两类，web系列的，和溢出破解系列的。而我做的网络方面的工作，基本找不到人，这是让我无比纠结的一件事情。细想起来，也许有两个方面的原因，第一是缺乏环境，他们找不到上千台服务器的IDC网络，也找不到上千台PC终端的办公网络。第二个原因，则是书籍资料。网络上免费的书虽多，但是也是web安全的和二进制安全的好找，网络架构方面的则偏少。而第一个原因的存在，又导致在没有书的情况下无法在真实的环境中摸索碰撞，就像我当初在摔的各种跟头中进步。
...

...

一 需求描述

　　单位项目组在局域网中使用VSS（visual source safe 6.0C and visual source safe 2005，分别对应visual studio 2003 和 visual studio2005）进行源代码管理协同开发。一般VSS在局域网内工作（VSS 2005 可以通过http在整个英特网使用，不过没有使用过，不知道好不好用，还是习惯于局域网的使用方式）。

　　近阶段在学习biztalk，在单位完成正常工作之余，会拿出一些时间做biztalk文档所带的tutorial的示例项目，还会做些测试项目，回家之后也会继续白天正在做的项目，所以有必要把家里的机器跟单位自己的机器连起来用VSS管理所做的项目，这样单位所做的工作和家里所做的工作可以相互衔接。

首先,我们知道,TCP/IP通常被认为是一个四层协议系统,包括链路层,网络层,传输层,应用层.UDP属于运输层,下面我们由下至上一步一步来看:

以太网(Ethernet)数据帧的长度必须在46-1500字节之间,这是由以太网的物理特性决定的.这个1500字节被称为链路层的MTU(最大传输单元).但这并不是指链路层的长度被限制在1500字节,其实这个MTU指的是链路层的数据区.并不包括链路层的首部和尾部的18个字节.所以,事实上,这个1500字节就是网络层IP数据报的长度限制.因为IP数据报的首部为20字节,所以IP数据报的数据区长度最大为1480字节.而这个1480字节就是用来放TCP传来的TCP报文段或UDP传来的UDP数据报的.又因为UDP数据报的首部8字节,所以UDP数据报的数据区最大长度为1472字节.这个1472字节就是我们可以使用的字节数。:)
...

Cisco交换机：
1、在中心交换机上show logging 发现如下日志
Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b84.189e；说明有ARP病毒，
2、执行conf t，mac-address static mac地址 vlan id drop；
3、对有ARP病毒的主机进行了处理，然后在中心交换机上执行
...

韩国青瓦台、外交通商部、国家情报院等国家机构，国民银行等金融机构和Naver等门户网站等40个机构4日遭到了分布式拒绝服务（DDos）的攻击。安哲秀（病毒）研究所4日表示，DDos当天上午10时开始对国内40个网站进行了攻击。...