當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

有效管理外來人員進(jìn)入公司網(wǎng)絡(luò)

http://m.yibo1263.com　2008/12/16 8:04:33 　來源:東北IT網(wǎng) 　編輯:葉子

（2）交換機(jī)端口綁定：

　　借助交換機(jī)端口的MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題�？晒芾淼慕粨Q機(jī)中都有端口MAC地址綁定功能。使用交換機(jī)提供的端口地址過濾模式，即交換機(jī)的每一個(gè)端口只具有允許合法MAC地址的主機(jī)通過該端口訪問網(wǎng)絡(luò)，任何來自其它MAC地址的主機(jī)的訪問將被拒絕。

（3）VLAN劃分：

　　嚴(yán)格來說，VLAN劃分不屬于技術(shù)手段，而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個(gè)VLAN，設(shè)置路由策略，可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。

（4）與應(yīng)用層的身份認(rèn)證相結(jié)合：

　　避免采用針對(duì)IP地址的直接授權(quán)的管理模式，綜合運(yùn)用用戶名、口令、加密、VPN及其他應(yīng)用層的身份認(rèn)證機(jī)制，構(gòu)成多層次的嚴(yán)密的安全體系，或者啟用一些諸如RADIUS AAA以及802.1x等具有認(rèn)證的功能，這些都可以有效降低IP地址非法使用所帶來的危害。

四，高級(jí)方法——DHCP SNOOPING：

　　實(shí)際情況中上面出現(xiàn)問題都是因?yàn)榉欠ㄓ脩糇约盒薷淖约旱腎P地址以及MAC地址造成的，那么我們有沒有一種辦法能夠限定普通用戶必須使用自動(dòng)獲得IP地址的方法來上網(wǎng)呢？如果可以限制的話，那么非法用戶即使修改自己的IP地址與MAC地址為合法信息也無法正常上網(wǎng)。一般來說我們可以在路由交換設(shè)備上啟用DHCP SNOOPING功能。不過這個(gè)功能并不是所有設(shè)備都有的，使用前請(qǐng)仔細(xì)查詢說明書。

　　DHCP SNOOPING使用的方法是采用DHCP方式為用戶分配IP，然后限定這些用戶只能使用動(dòng)態(tài)IP的方式，如果改成靜態(tài)IP的方式則不能連接上網(wǎng)絡(luò)。

五，總結(jié)：

　　外來人員非法進(jìn)入公司網(wǎng)絡(luò)的途徑有很多很多種，網(wǎng)絡(luò)管理員除有法律手段和技術(shù)手段，還擁有各種內(nèi)部管理手段，同時(shí)還有一些技術(shù)手段，如部署一套網(wǎng)管系統(tǒng)，比如國(guó)內(nèi)較為知名的網(wǎng)管軟件：聚生網(wǎng)管，具有一項(xiàng)“自動(dòng)發(fā)現(xiàn)新加入主機(jī)，并自動(dòng)實(shí)施某個(gè)策略的功能”，這樣你可以建立一個(gè)禁止上網(wǎng)（或者強(qiáng)制斷網(wǎng)）的功能，這樣軟件只要一掃描到電腦，就自動(dòng)將禁止上網(wǎng)或者強(qiáng)制斷網(wǎng)的功能應(yīng)用到這個(gè)主機(jī)上，這樣他就自動(dòng)不能上網(wǎng)了，與其他手段相比，這樣的控制方法是自動(dòng)的，大大減輕網(wǎng)管人員的工作，更為方便。因此，只有綜合運(yùn)用管理手段和技術(shù)手段來處理此問題才能實(shí)現(xiàn)高可靠性的系統(tǒng)運(yùn)行與低成本的管理維護(hù)的統(tǒng)一。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费