每個(gè)網(wǎng)絡(luò)管理員都希望能夠找到一種切實(shí)可行的方案來維護(hù)本地網(wǎng)絡(luò)的安全,同時(shí)在不降低網(wǎng)絡(luò)安全等級(jí)的情況下還能有效提高自己的網(wǎng)絡(luò)管理效率。其實(shí),控制DHCP 服務(wù)器就是一種既能保證網(wǎng)絡(luò)安全又能提高網(wǎng)絡(luò)管理效率的兩全其美的辦法。
在控制DHCP 服務(wù)器的過程中,參數(shù)設(shè)置最為重要,設(shè)置正確, 也就代表著網(wǎng)絡(luò)安全得到保障的開始!
安全接入思路
在局域網(wǎng)工作環(huán)境中,要是允許任意一臺(tái)普通計(jì)算機(jī)自由接入網(wǎng)絡(luò),那么相應(yīng)網(wǎng)絡(luò)的安全性將很難得到有效保證。試想一下,一臺(tái)被感染了網(wǎng)絡(luò)病毒的普通計(jì)算機(jī)連接到網(wǎng)絡(luò)后,對(duì)應(yīng)系統(tǒng)中的網(wǎng)絡(luò)病毒很有可能會(huì)通過網(wǎng)絡(luò)傳染給局域網(wǎng)中的其他計(jì)算機(jī)。這樣相互傳播、感染,整個(gè)網(wǎng)絡(luò)勢必就會(huì)受到網(wǎng)絡(luò)病毒的嚴(yán)重攻擊,此時(shí)網(wǎng)絡(luò)的安全性自然也就受到破壞了。
為了保證網(wǎng)絡(luò)安全,必須對(duì)網(wǎng)絡(luò)的接入進(jìn)行適當(dāng)控制,確保那些可以信任的普通計(jì)算機(jī)才能接入本地網(wǎng)絡(luò)并訪問互聯(lián)網(wǎng)。
圖1 新建用戶類別向?qū)?/strong>
那么,究竟哪些普通計(jì)算機(jī)是可以信任的呢?在這里,我們可以強(qiáng)制普通計(jì)算機(jī)自動(dòng)從DHCP 服務(wù)器那里獲得IP 地址,在申請(qǐng)IP 地址的過程中,要求DHCP 服務(wù)器對(duì)普通計(jì)算機(jī)的合法性進(jìn)行認(rèn)證。如果計(jì)算機(jī)能夠順利通過認(rèn)證,那么DHCP 服務(wù)器才能將上網(wǎng)參數(shù)地址,包括IP 地址、網(wǎng)關(guān)、DNS 服務(wù)器等,分配給這臺(tái)計(jì)算機(jī),這樣一來可以信任的普通計(jì)算機(jī)系統(tǒng)就能正常接入到網(wǎng)絡(luò)了。
如果計(jì)算機(jī)沒有通過DHCP 服務(wù)器的驗(yàn)證,那么對(duì)應(yīng)系統(tǒng)就無法從DHCP 服務(wù)器那里獲得有效的上網(wǎng)參數(shù),此時(shí)這些不值得信任的普通計(jì)算機(jī)也就不能連接到本地網(wǎng)絡(luò)。這樣一來,本地網(wǎng)絡(luò)的安全性就能得到保證了。
在進(jìn)行客戶端系統(tǒng)的合法性認(rèn)證時(shí),可以先在DHCP服務(wù)器中創(chuàng)建合法性規(guī)則,同時(shí)為該規(guī)則配置相應(yīng)的上網(wǎng)參數(shù),包括IP 地址、網(wǎng)關(guān)、DNS 服務(wù)器等,之后為客戶端系統(tǒng)設(shè)計(jì)合法性標(biāo)記。這樣,以后普通計(jì)算機(jī)向DHCP服務(wù)器申請(qǐng)上網(wǎng)參數(shù)時(shí),DHCP 服務(wù)器中的合法性規(guī)則就會(huì)對(duì)客戶端系統(tǒng)的合法性標(biāo)記進(jìn)行檢查驗(yàn)證:如果發(fā)現(xiàn)客戶端系統(tǒng)沒有合法性標(biāo)記或標(biāo)記不能通過合法性規(guī)則驗(yàn)證時(shí),就不會(huì)為它分配有效的上網(wǎng)參數(shù);如果客戶端系統(tǒng)通過合法性規(guī)則驗(yàn)證,對(duì)應(yīng)規(guī)則下面的上網(wǎng)參數(shù)就能自動(dòng)分配給目標(biāo)客戶端系統(tǒng)了,這個(gè)時(shí)候普通計(jì)算機(jī)就能正常地接入到本地網(wǎng)絡(luò)中。
創(chuàng)建合法性規(guī)則
為了對(duì)客戶端系統(tǒng)的上網(wǎng)安全性進(jìn)行控制,可以在DHCP 服務(wù)器中創(chuàng)建合法性規(guī)則,來對(duì)普通計(jì)算機(jī)的合法性進(jìn)行認(rèn)證。
可以在DHCP 服務(wù)器中創(chuàng)建一個(gè)新的DHCP 用戶類別,并要求對(duì)客戶端系統(tǒng)的用戶類別進(jìn)行驗(yàn)證,驗(yàn)證通過之后才能對(duì)客戶端系統(tǒng)的上網(wǎng)請(qǐng)求做出響應(yīng)。
在創(chuàng)建新的DHCP 用戶類別時(shí),首先打開DHCP 服務(wù)器主機(jī)系統(tǒng)的“開始”菜單,從中依次選擇“程序”→“管理工具”→“DHCP”命令,進(jìn)入DHCP 服務(wù)器控制臺(tái)界面,選中該界面左側(cè)列表中的目標(biāo)主機(jī)圖標(biāo),同時(shí)右擊該主機(jī)圖標(biāo),并選擇右鍵菜單中的“定義用戶類別”命令或“定義提供商類別”命令,彈出新建用戶類別向?qū)Т翱,如圖1 所示。在該向?qū)Т翱诘摹帮@示名稱”位置處,輸入一個(gè)DHCP 用戶類別名稱,例如,將該用戶類別名稱輸入為“hefa”。
為了方便日后管理,還可以對(duì)該用戶類別的作用進(jìn)行一些描述,例如,在“描述”位置處輸入“控制網(wǎng)絡(luò)接入安全”之類的描述性信息。當(dāng)然,如果DHCP 用戶類別名稱比較少,可以不設(shè)置描述信息。
接下來,還要在ID 位置處設(shè)置合法計(jì)算機(jī)的匹配類ID,例如,當(dāng)我們在ASCII 字符位置處輸入“hefa”信息時(shí),對(duì)應(yīng)ID 位置處的二進(jìn)制數(shù)值就是合法計(jì)算機(jī)的匹配類ID。日后DHCP 服務(wù)器會(huì)通過這個(gè)匹配類ID 來驗(yàn)證普通計(jì)算機(jī)的合法性。在確認(rèn)上面的設(shè)置正確無誤后,單擊“確定”按鈕,保存好上述設(shè)置操作。
配置合法上網(wǎng)參數(shù)
如果DHCP 服務(wù)器發(fā)現(xiàn)普通計(jì)算機(jī)系統(tǒng)的匹配類ID符合要求時(shí),就認(rèn)為該客戶端系統(tǒng)是合法的。此時(shí)就應(yīng)該為目標(biāo)客戶端系統(tǒng)分配合法、有效的上網(wǎng)參數(shù),確保該計(jì)算機(jī)可以順利地接入到本地網(wǎng)絡(luò)中。
為此,在我們創(chuàng)建好“hefa”用戶類別名稱時(shí),還應(yīng)該為該用戶類別配置合法的上網(wǎng)參數(shù),確保那些通過用戶類別驗(yàn)證的普通計(jì)算機(jī)可以從DHCP 服務(wù)器那里申請(qǐng)到有效的上網(wǎng)參數(shù)。
下面就是具體的配置步驟:
首先,切換進(jìn)入DHCP 服務(wù)器的控制界面,展開該界面左側(cè)子窗格中的目標(biāo)主機(jī)選項(xiàng),右擊“作用域選項(xiàng)”,選擇右鍵菜單中的“配置選項(xiàng)”命令,繼續(xù)選擇彈出界面中的“高級(jí)”選項(xiàng)卡,打開高級(jí)選項(xiàng)設(shè)置頁面,如圖2所示。
圖2 高級(jí)選項(xiàng)設(shè)置
在這里可以為合法計(jì)算機(jī)分配IP 地址、默認(rèn)網(wǎng)關(guān)、DNS 服務(wù)器等上網(wǎng)參數(shù),同時(shí)可以設(shè)置IP 地址的租約期限等參數(shù)。例如,要為“hefa”用戶類別配置上網(wǎng)參數(shù)時(shí),可以先單擊“用戶類別”位置處的下拉按鈕,并從下拉列表中將先前創(chuàng)建好的“hefa”用戶類別選中,之后從可用選項(xiàng)列表中選中“003 路由器”,并在對(duì)應(yīng)選項(xiàng)下面的設(shè)置區(qū)域輸入合適的默認(rèn)網(wǎng)關(guān)地址,然后單擊“添加”按鈕,即可完成默認(rèn)網(wǎng)關(guān)的分配操作。
之后選中“006 DNS 服務(wù)器”選項(xiàng),在對(duì)應(yīng)該選項(xiàng)下面的設(shè)置區(qū)域,輸入本地網(wǎng)絡(luò)上網(wǎng)訪問時(shí)用到的ISP 提供的DNS 服務(wù)器地址,再單擊“添加”按鈕,完成DNS 服務(wù)器的分配操作。同樣地,還可以選中“051 租約”選項(xiàng),來設(shè)置動(dòng)態(tài)IP 地址的有效租約期限。
如果想為普通計(jì)算機(jī)修改動(dòng)態(tài)IP 地址,必須展開目標(biāo)作用域下面的“地址池”選項(xiàng),并在對(duì)應(yīng)選項(xiàng)的設(shè)置頁面中修改上網(wǎng)IP 地址,修改完畢后單擊“確定”按鈕保存好設(shè)置操作。
設(shè)置合法性標(biāo)記
為了保證那些值得信任的普通計(jì)算機(jī)系統(tǒng)可以順利地通過DHCP 服務(wù)器的合法性驗(yàn)證,應(yīng)該事先為那些安全的客戶端系統(tǒng)設(shè)置合法性標(biāo)記,確保該系統(tǒng)的DHCP 類ID名稱符合合法性驗(yàn)證要求。
在為普通計(jì)算機(jī)設(shè)置合法性標(biāo)記時(shí),可以依次選擇“開始”→“運(yùn)行”命令,打開客戶端系統(tǒng)的運(yùn)行文本框,在其中執(zhí)行“CMD”字符串命令,進(jìn)入對(duì)應(yīng)系統(tǒng)的MS-DOS工作窗口。
接下來,在MS-DOS 工作窗口的命令行提示符下,執(zhí)行“ipconfig /setclassid Local Connection hefa”字符串命令,這樣就可以成功地將客戶端系統(tǒng)本地連接的DHCP 類ID名稱設(shè)置為“hefa”標(biāo)記了。
控制網(wǎng)絡(luò)接入安全
為了讓普通計(jì)算機(jī)接受DHCP 服務(wù)器的合法性控制,必須強(qiáng)制要求客戶端系統(tǒng)在上網(wǎng)訪問時(shí),主動(dòng)連接DHCP服務(wù)器。這樣一來,DHCP 服務(wù)器就能自動(dòng)對(duì)上網(wǎng)計(jì)算機(jī)的合法性進(jìn)行驗(yàn)證了。
要做到這一點(diǎn),其實(shí)很簡單,我們可以設(shè)置普通客戶端系統(tǒng)的上網(wǎng)參數(shù),讓其自動(dòng)獲得IP 地址。
在設(shè)置自動(dòng)獲得IP 操作時(shí),先打開客戶端系統(tǒng)的“開始”菜單,從中逐一選擇“設(shè)置”→“網(wǎng)絡(luò)連接”選項(xiàng),用鼠標(biāo)右鍵單擊網(wǎng)絡(luò)連接列表界面中的本地連接圖標(biāo),再執(zhí)行右鍵菜單中的“屬性”命令,彈出本地連接屬性設(shè)置對(duì)話框。
選擇該對(duì)話框中的“常規(guī)”選項(xiàng)卡,選擇該選項(xiàng)設(shè)置頁面中的TCP/IP 協(xié)議選項(xiàng),同時(shí)單擊“屬性”按鈕,打開對(duì)應(yīng)的選項(xiàng)設(shè)置對(duì)話框,選中這里的“自動(dòng)獲得IP 地址”、“自動(dòng)獲得DNS 服務(wù)器地址”等選項(xiàng),再單擊“確定”按鈕,執(zhí)行設(shè)置保存操作。
以后,當(dāng)包含有“hefa”標(biāo)記的普通計(jì)算機(jī)嘗試連接DHCP 服務(wù)器時(shí),DHCP 服務(wù)器的合法性規(guī)則就會(huì)認(rèn)為該計(jì)算機(jī)是可以信任的,就會(huì)將對(duì)應(yīng)規(guī)則下面的上網(wǎng)參數(shù)分配給該計(jì)算機(jī)了。
有了上網(wǎng)參數(shù),該計(jì)算機(jī)系統(tǒng)就能正常接入到本地局域網(wǎng)中了;而那些不安全的普通計(jì)算機(jī)則因?yàn)闊o法得到上網(wǎng)參數(shù)而不能進(jìn)行網(wǎng)絡(luò)連接,網(wǎng)絡(luò)安全因此得到一定的保障。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:用DHCP服務(wù)器保接入網(wǎng)絡(luò)安全
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083964729.html