当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 企业安全管理从IP地址开始

安全基础
新手入门:如何查看自己电脑配置
QQ牌类游戏常见问题以及解决方法
Windows记事本制作另类个性的整人签名
公共Wi-Fi网络可能会给电脑用户带来更大的安全威胁
新手入门:优酷视频播放密码不安全
微软对联网站快速制作属于自己的春联
淘宝钓鱼网站节前频繁 两招快速识别钓鱼网站
极虎病毒传播方式、中毒特征和解决方法
反病毒专家建议春节期间上网防病毒办法
快速获取网友的IP地址的4种方法
Windows无法加载本地存储的配置文件
电脑开机运行速度缓慢的软硬件问题分析
打开网上邻居里的电脑要求输入密码怎么办
Cisco路由器用户名和密码忘记怎么办
细数电脑里的一些需要删除的垃圾文件
快速清理右键菜单的一些方法汇总
纯DOS不支持中文显示乱码的3种解决方法
为喜欢的网站制作桌面快捷方式
离开计算机快速启动屏幕保护程序的设置方法
为域用户指定允许其登录的计算机

安全基础 中的 企业安全管理从IP地址开始


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 52 ::
收藏到网摘: n/a

  某企业所在的办公局域网有100多台计算机,为了区分不同用户分配更详细的访问权限,我们采用的是设置固定IP的方法,而不是自动获取IP地址,由于我们还有一部分电脑要联到Internet上。这样就要设两个子网,如内网我们设为192.168.0.1网段,能联外网的我们设为192.168.1.1网段。在实际使用中遇到了经常有用户为了上网私自修改IP地址,从而造成网络冲突的问题。

  因为我们的计算机都是使用Windows XP操作系统的,用户可以私自设两个IP网段的地址这样即可联入单位的局域网也可以联到因特网,但这是公司不允许的。下面是我解决的过程和自己的一些心得,希望能给要解决这样问题的一些提示(我用的是TP-LINK路由器)。

  方法一:IP地址与MAC地址的绑定加上路由器的MAC过滤功能

  使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令,将静态IP地址192.168.1.2与网卡地址为00-AO-43-E0-6A-84的计算机绑定在一起,使别人就不能使用这个IP地址了。再进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址联入外网把00-AO-43-E0-6A-84填入即可。

  可是上面提到的方法虽然可以在一定程度上解决非法用户网络接入的问题和网络冲突的问题,但用户还是可以通过修改注册表,下载专用修改MAC小工具等方法,轻松更改本机MAC地址,甚至将本机的MAC地址和IP地址改得和上面能上网的机器一模一样。非法用户又可以非法使用网络。并且我用的路由器的MAC过滤功能只能填入16个MAC。

  方法二:交换机的MAC地址与端口绑定

  将交换机的MAC地址与端口绑定后,非法用户擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。

  登录进入交换机(我单位用的是Cisco交换机,我想别的品牌的交换机也差不多),输入管理口令进入配置模式:

  敲入命令:(config)#mac_address_table permanent [MAC地址] [以太网端口号]

  这样逐一的将每个端口与相应的计算机MAC地址进行绑定,保存退出后就彻底阻止了用户的非法修改。

  方法三:防火墙与代理服务器

  我个人感觉使用防火墙与代理服务器相结合,更能较好地解决IP地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络进入因特网。这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。

  使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群来说,用户管理也是一个问题。