如何有效管理外來(lái)人員進(jìn)入公司網(wǎng)絡(luò)

公司內(nèi)部有很多資源都是珍貴的，也涉及企業(yè)隱私。網(wǎng)絡(luò)管理員不僅僅要維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，還需要保證這些資源不被非法用戶竊取。一般來(lái)說(shuō)每個(gè)員工計(jì)算機(jī)都有足夠強(qiáng)大的用戶名密碼來(lái)防范非法用戶入侵，不過(guò)企業(yè)內(nèi)部一些網(wǎng)絡(luò)資源卻是對(duì)外公開的，很多服務(wù)器都可開啟了匿名登錄服務(wù)。因此要保證資源的足夠安全就需要網(wǎng)絡(luò)管理員采取有效的方法來(lái)管理甚至是阻止外來(lái)人員進(jìn)入公司網(wǎng)絡(luò)。

既然我們要處理的是有效管理外來(lái)人員進(jìn)入公司本地網(wǎng)絡(luò)的問(wèn)題，那么關(guān)鍵就是要把網(wǎng)絡(luò)管理好，不讓外來(lái)沒(méi)有授權(quán)的人員適應(yīng)計(jì)算機(jī)接入網(wǎng)絡(luò)竊取信息。眾所周知每臺(tái)連接到網(wǎng)絡(luò)的計(jì)算機(jī)都要有一個(gè)網(wǎng)絡(luò)地址——IP地址，沒(méi)有了IP地址計(jì)算機(jī)就無(wú)法連接網(wǎng)絡(luò)。所以說(shuō)我們只需要讓沒(méi)有授權(quán)的人員即使將自己的計(jì)算機(jī)插到網(wǎng)絡(luò)接口也無(wú)法獲得IP地址即可。

既然我們要禁止非法外來(lái)人員計(jì)算機(jī)連接到網(wǎng)絡(luò)接口上獲得IP地址，就應(yīng)該在企業(yè)網(wǎng)絡(luò)中禁止DHCP功能。

（1）服務(wù)器上禁用DHCP：

如果公司使用windows 2000或windows 2003建立DHCP服務(wù)器，那么我們可以通過(guò)停止服務(wù)或刪除DHCP組件的方法來(lái)關(guān)閉DHCP功能。如果服務(wù)器使用的操作系統(tǒng)是linux同樣可以禁止DHCP服務(wù)的運(yùn)行。

（2）路由器上禁用DHCP：

除了服務(wù)器上存在DHCP服務(wù)外，很多路由器上也可以配置DHCP，我們可以登錄路由器管理界面去查看，通過(guò)no或undo命令將該DHCP服務(wù)關(guān)閉。

（3）員工計(jì)算機(jī)上禁用DHCP：（如下圖）

現(xiàn)在網(wǎng)絡(luò)中有很多DHCP服務(wù)建立小工具，所以你的網(wǎng)絡(luò)可能有出現(xiàn)有人私自搭建DHCP服務(wù)器的現(xiàn)象，我們只需要經(jīng)常通過(guò)計(jì)算機(jī)執(zhí)行ipconfig /renew命令來(lái)查看即可，發(fā)現(xiàn)有個(gè)人DHCP服務(wù)后可以通過(guò)查看網(wǎng)關(guān)MAC地址來(lái)判斷是哪臺(tái)計(jì)算機(jī)啟動(dòng)了DHCP服務(wù)。

（4）假DHCP服務(wù)迷惑外來(lái)人員：

如果網(wǎng)絡(luò)內(nèi)部沒(méi)有DHCP服務(wù)，那么員工建立DHCP服務(wù)就成為一件非常容易的事，上面提到的問(wèn)題3也會(huì)頻繁發(fā)生。實(shí)際上我們可以通過(guò)一個(gè)假的DHCP來(lái)解決外來(lái)人員進(jìn)入公司網(wǎng)絡(luò)的問(wèn)題。一方面假的DHCP服務(wù)器分配一個(gè)假的IP地址信息，這樣外來(lái)人員獲得的地址也是假的無(wú)效的，依然無(wú)法連接到網(wǎng)絡(luò)中；另一方面假的DHCP服務(wù)器隨時(shí)工作在網(wǎng)絡(luò)中，如果有其他人私自建立DHCP服務(wù)也會(huì)因?yàn)榫W(wǎng)絡(luò)中已經(jīng)存在了另一個(gè)DHCP服務(wù)器而建立失敗。

雖然上面我們通過(guò)禁用DHCP服務(wù)或建立一個(gè)假的DHCP服務(wù)可以阻止非法用戶連接網(wǎng)絡(luò)后自動(dòng)獲得IP地址。但是如果非法用戶知道了公司的網(wǎng)絡(luò)規(guī)劃，對(duì)客戶機(jī)網(wǎng)絡(luò)地址比較了解的話，他就可以自由修改IP地址的設(shè)置，從而產(chǎn)生了IP地址非法使用的問(wèn)題。不過(guò)改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)的情況如下。��

（1）非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)。

（2）重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突，使合法用戶無(wú)法上網(wǎng)。

（3）冒用合法用戶的IP地址當(dāng)合法用戶不在線時(shí)，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害。

對(duì)于第一種情況非法IP也不能上網(wǎng)，所以我們不用理會(huì)。但是第二種和第三種情況則嚴(yán)重的影響了公司內(nèi)部其他員工正常上網(wǎng)，并且公司內(nèi)部數(shù)據(jù)也存在丟失的可能。我們這些網(wǎng)絡(luò)管理員可以通過(guò)以下幾個(gè)辦法來(lái)對(duì)付非法用戶自行修改IP地址。

（1）靜態(tài)ARP表的綁定：

對(duì)于靜態(tài)修改IP地址的問(wèn)題，可以采用靜態(tài)路由技術(shù)加以解決，即IP-MAC地址綁定。因?yàn)樵谝粋�(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表，這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí)，可以指定靜態(tài)的ARP表，路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包，如果不能對(duì)應(yīng)，則不進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。 該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進(jìn)行跨網(wǎng)段的訪問(wèn)。

（2）交換機(jī)端口綁定：

借助交換機(jī)端口的MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問(wèn)題。可管理的交換機(jī)中都有端口MAC地址綁定功能。使