如何有效管理外来人员进入公司网络(1)

如何有效管理外来人员进入公司网络(1)

公司内部有很多资源都是珍贵的，也涉及企业隐私。网络管理员不仅仅要维护网络的正常运行，还需要保证这些资源不被非法用户窃取。一般来说每个员工计算机都有足够强大的用户名密码来防范非法用户入侵，不过企业内部一些网络资源却是对外公开的，很多服务器都可开启了匿名登录服务。因此要保证资源的足够安全就需要网络管理员采取有效的方法来管理甚至是阻止外来人员进入公司网络。

一，管理原则：

既然我们要处理的是有效管理外来人员进入公司本地网络的问题，那么关键就是要把网络管理好，不让外来没有授权的人员适应计算机接入网络窃取信息。众所周知每台连接到网络的计算机都要有一个网络地址——IP地址，没有了IP地址计算机就无法连接网络。所以说我们只需要让没有授权的人员即使将自己的计算机插到网络接口也无法获得IP地址即可。

二，基本方法——禁用DHCP功能：

既然我们要禁止非法外来人员计算机连接到网络接口上获得IP地址，就应该在企业网络中禁止DHCP功能。

1）服务器上禁用DHCP：

如果公司使用windows 2000或windows 2003建立DHCP服务器，那么我们可以通过停止服务或删除DHCP组件的方法来关闭DHCP功能。如果服务器使用的操作系统是linux同样可以禁止DHCP服务的运行。

2）路由器上禁用DHCP：

除了服务器上存在DHCP服务外，很多路由器上也可以配置DHCP，我们可以登录路由器管理界面去查看，通过no或undo命令将该DHCP服务关闭。

3）员工计算机上禁用DHCP：如下图）

DHCP设置

现在网络中有很多DHCP服务建立小工具，所以你的网络可能有出现有人私自搭建DHCP服务器的现象，我们只需要经常通过计算机执行ipconfig /renew命令来查看即可，发现有个人DHCP服务后可以通过查看网关MAC地址来判断是哪台计算机启动了DHCP服务。

4）假DHCP服务迷惑外来人员：

如果网络内部没有DHCP服务，那么员工建立DHCP服务就成为一件非常容易的事，上面提到的问题3也会频繁发生。实际上我们可以通过一个假的DHCP来解决外来人员进入公司网络的问题。一方面假的DHCP服务器分配一个假的IP地址信息，这样外来人员获得的地址也是假的无效的，依然无法连接到网络中；另一方面假的DHCP服务器随时工作在网络中，如果有其他人私自建立DHCP服务也会因为网络中已经存在了另一个DHCP服务器而建立失败。

三，中级方法——多种办法应对非法IP：

虽然上面我们通过禁用DHCP服务或建立一个假的DHCP服务可以阻止非法用户连接网络后自动获得IP地址。但是如果非法用户知道了公司的网络规划，对客户机网络地址比较了解的话，他就可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题。不过改动后的IP地址在局域网中运行时可能出现的情况如下。

1）非法的IP地址即IP地址不在规划的局域网范围内。

2）重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。

3）冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。

对于第一种情况非法IP也不能上网，所以我们不用理会。但是第二种和第三种情况则严重的影响了公司内部其他员工正常上网，并且公司内部数据也存在丢失的可能。我们这些网络管理员可以通过以下几个办法来对付非法用户自行修改IP地址。

1）静态ARP表的绑定：如下图）

对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。

2）交换机端口绑定：

借助交换机端口的MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口MAC地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒绝。

3）VLAN划分：

严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。

4）与应用层的身份认证相结合：如下图）

身份认证

避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能，这些都可以有效降低IP地址非法使用所带来的危害。