当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 企业安全管理从IP地址开始

安全基础
可以用于交换环境下SNIFFER的几种攻击技术手段
嗅探的时候,防火墙能发现吗?
wincap and sniffer(1)
wincap and sniffer(2)
客户端登录到Win 2000域
网络故障问答集萃
软件开发项目控制浅谈(1)
软件开发项目控制浅谈(2)
软件开发项目控制浅谈(3)
软件开发项目控制浅谈(4)
用Telnet快速收发电子邮件(1)
用Telnet快速收发电子邮件(2)
Windows XP系统启动提速专题
让Google长个好“记性”
恢复EXE文件关联补完版
真真假假的安全警告
网络安全应急三观
全力打造个人网络安全
系统自动启动程序之十大藏身之所
访问权限问题问答集锦

安全基础 中的 企业安全管理从IP地址开始


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 75 ::
收藏到网摘: n/a

  某企业所在的办公局域网有100多台计算机,为了区分不同用户分配更详细的访问权限,我们采用的是设置固定IP的方法,而不是自动获取IP地址,由于我们还有一部分电脑要联到Internet上。这样就要设两个子网,如内网我们设为192.168.0.1网段,能联外网的我们设为192.168.1.1网段。在实际使用中遇到了经常有用户为了上网私自修改IP地址,从而造成网络冲突的问题。

  因为我们的计算机都是使用Windows XP操作系统的,用户可以私自设两个IP网段的地址这样即可联入单位的局域网也可以联到因特网,但这是公司不允许的。下面是我解决的过程和自己的一些心得,希望能给要解决这样问题的一些提示(我用的是TP-LINK路由器)。

  方法一:IP地址与MAC地址的绑定加上路由器的MAC过滤功能

  使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令,将静态IP地址192.168.1.2与网卡地址为00-AO-43-E0-6A-84的计算机绑定在一起,使别人就不能使用这个IP地址了。再进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址联入外网把00-AO-43-E0-6A-84填入即可。

  可是上面提到的方法虽然可以在一定程度上解决非法用户网络接入的问题和网络冲突的问题,但用户还是可以通过修改注册表,下载专用修改MAC小工具等方法,轻松更改本机MAC地址,甚至将本机的MAC地址和IP地址改得和上面能上网的机器一模一样。非法用户又可以非法使用网络。并且我用的路由器的MAC过滤功能只能填入16个MAC。

  方法二:交换机的MAC地址与端口绑定

  将交换机的MAC地址与端口绑定后,非法用户擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。

  登录进入交换机(我单位用的是Cisco交换机,我想别的品牌的交换机也差不多),输入管理口令进入配置模式:

  敲入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]

  这样逐一的将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用户的非法修改。

  方法三:防火墙与代理服务器

  我个人感觉使用防火墙与代理服务器相结合,更能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络进入因特网。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。

  使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群来说,用户管理也是一个问题。