在企業的網絡管理中,網絡管理員處于網絡安全的需要,有時候會禁止局域網某些電腦訪問公司內部服務器的關鍵資源,而這一般是通過分配不同IP的上網權限來實現的。但是這樣的管理弊端也很明顯,因為訪問者可能會趁著允許訪問的IP的電腦關機的情況下更改自己的IP為允許訪問的IP列表里面的某一個IP來實現對服務器關鍵資源的訪問。所以,通過IP來實現對關鍵資源的保護就十分脆弱。不過,更常見的方式是:不允許訪問的IP會通過允許訪問的IP來實現代理上網,這樣也就可以實現對局域網服務器關鍵資源的訪問了。所以,對局域網的IP地址進行有效的管理就成為網絡安全管理的重要內容了。
首先,針對局域網的電腦可以私自更改自己的IP的情況,我們可以通過IP和MAC綁定來實現,這個一般可以通過路由器、交換機或者防火墻來實現。但是考慮到國內90%以上的企業都是中小型企業,網絡設備諸如交換機、路由器和防火墻一般沒有這個功能,所以進行IP和MAC綁定就較為困難。目前,國內有很多上網行為管理軟件一般都有這個功能。我們以大勢至(北京)軟件工程有限公司的聚生網管系統(官方網址:http://www.grabsun.com)為例。在聚生網管的左側的“網絡安全”管理這里點擊“啟用IP和MAC綁定功能”,然后就可以點擊左側“獲取IP和MAC對應表”,這樣,就可以獲取了局域網內的電腦的IP和MAC的對應關系,點擊“保存配置”就可以進行綁定了。這樣,如果局域網的客戶端私自更改了自己的IP,聚生網管就可以實時探測到,并且可以發送警告信息,告知客戶端必須將自己的IP更改回來才可以上網,否則被控制的電腦就無法上網,這樣上網者就被迫將IP地址更改成管理員當時設定的IP地址;同時,聚生網管也支持手工修改IP和MAC綁定關系,并且支持自動獲取新主機的IP和MAC對應關系,并自動進行綁定,這樣局域網的電腦在陸續開機的情況下,就會被自動綁定,這樣整個局域網的IP和MAC對應關系就被綁定了,從而使得在局域網禁止私自修改IP地址的行為,保護了局域網的安全。
其次,聚生網管系統還提供了局域網主機禁止通過代理上網的功能。在聚生網管的策略設置那里,我們可以創建一個策略。在編輯策略的時候,我們可以將“網絡限制”里面“禁止局域網的電腦啟動代理上網”的功能勾選上,這樣局域網的電腦就無法通過代理上網了,從而杜絕了局域網的某些不被允許上網的電腦企圖通過代理上網的行為,維護了網絡安全。同時,在這里你可以勾選“禁止局域網內的電腦充當代理”,這樣,局域網有特定上網權限的電腦就無法給其他電腦提供代理上網的功能,從而從源頭上強化了網絡安全。
最后,聚生網管還提供了一個禁止訪問局域網共享資源的功能。這樣,如果外部的電腦私自接入了局域網之后也無法訪問局域網的關鍵資源,除非得到管理員的許可,從而在很大程度上防止了不法分子私自訪問局域網共享資源或者關鍵資料的行為,保護了企業的經營安全。
共有條評論
