| |
(2)交换机端口绑定:
借助交换机端口的MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
(3)VLAN划分:
严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
(4)与应用层的身份认证相结合:
避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能,这些都可以有效降低IP地址非法使用所带来的危害。
四,高级方法——DHCP SNOOPING:
实际情况中上面出现问题都是因为非法用户自己修改自己的IP地址以及MAC地址造成的,那么我们有没有一种办法能够限定普通用户必须使用自动获得IP地址的方法来上网呢?如果可以限制的话,那么非法用户即使修改自己的IP地址与MAC地址为合法信息也无法正常上网。一般来说我们可以在路由交换设备上启用DHCP SNOOPING功能。不过这个功能并不是所有设备都有的,使用前请仔细查询说明书。
DHCP SNOOPING使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络。
五,总结:
外来人员非法进入公司网络的途径有很多很多种,网络管理员除有法律手段和技术手段,还拥有各种内部管理手段,同时还有一些技术手段,如部署一套网管系统,比如国内较为知名的网管软件:聚生网管,具有一项“自动发现新加入主机,并自动实施某个策略的功能”,这样你可以建立一个禁止上网(或者强制断网)的功能,这样软件只要一扫描到电脑,就自动将禁止上网或者强制断网的功能应用到这个主机上,这样他就自动不能上网了,与其他手段相比,这样的控制方法是自动的,大大减轻网管人员的工作,更为方便。因此,只有综合运用管理手段和技术手段来处理此问题才能实现高可靠性的系统运行与低成本的管理维护的统一。 |
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
