怎麼維護區域網安全介紹

General 更新 2024年12月28日

為了提高區域網的地址管理效率,相信很多網路管理員都會在單位內部架設一臺DHCP伺服器,來為網路中的客戶端系統自動分配上網引數,在這種上網環境下,DHCP伺服器的工作安全性,會直 接影響著整個區域網的執行安全性。下面由小編給你做出詳細的!希望對你有幫助!

:

區域網安全維護思路:

對於DHCP伺服器來說,DHCP監聽技術其實就是一種過濾DHCP報文的技術。通過在區域網的核心交換機中啟用DHCP監聽功能,可以將來自區域網中重 要主機或網路裝置的不可信任DHCP報文過濾掉,保證客戶端系統只能從經過網路管理員特別授權的可信任DHCP伺服器那裡獲得上網引數,那樣一來可信任的 DHCP伺服器就不會受到非信任DHCP伺服器的“干擾”,那麼區域網的執行安全性、穩定性就能得到保證。比方說,區域網中原先只有一臺可信任的DHCP 伺服器,當用戶不小心將自帶有DHCP服務功能的列印伺服器接入到網路後,那麼列印伺服器就會“搖身”變成一臺非信任的DHCP伺服器,這時區域網中就會 同時存在兩臺DHCP伺服器,那麼普通的客戶端系統該從哪一臺DHCP伺服器中獲得上網引數呢?為了保證客戶端系統能夠獲得合法上網引數,我們只要在交換 機上啟用了DHCP監聽功能,那麼普通客戶端系統就會忽略列印伺服器的存在,而會自動向可信任的DHCP伺服器去申請上網引數。

DHCP監聽功能在工作的時候,交換機會只允許客戶端使用者傳送DCHP請求,同時會將類似提供響應的其他DCHP報文自動丟棄掉,這麼一來普通客戶端系統 只能從合法的DHCP伺服器那裡獲得有效的上網引數;雖然非法的DHCP伺服器也能夠對客戶端系統的上網請求進行響應,但是交換機的DHCP監聽功能會將 非法DHCP伺服器的提供響應報文自動丟棄掉,那麼客戶端系統是無法接受到非法DHCP伺服器的回覆報文的。此外,通過DHCP監聽功能,交換機會將局域 網中的DHCP報文,自動識別為可信任的DHCP報文和不可信任的DHCP報文,對於來自防火牆、外網裝置或者沒有經過網路管理員授權的DHCP伺服器發 送過來的DHCP報文,DHCP監聽功能會自動將它識別為不可信任的DHCP報文,同時對這樣的報文執行丟棄處理,那樣一來沒有授權的非信任DHCP服務 器就不會干擾區域網的安全執行。

區域網安全維護範圍:

DHCP監聽技術在保護區域網的DHCP伺服器執行安全時,主要是通過過濾資料報 文的方式,來將DHCP伺服器識別為信任埠或非信任埠的,對於來自信任埠的資料資訊,交換機會允許其正常接受和傳送,而對於來自非信任埠的資料信 息,交換機則不予響應。具體的來說,DHCP監聽技術的安全維護範圍主要表現在以下幾個方面:

維護區域網安全1、預防地址衝突

DHCP監聽技 術可以防止非信任DHCP伺服器通過地址衝突的方式,干擾信任DHCP伺服器的工作穩定性。在實際管理網路的時候,我們經常會發現在相同的工作子網中,可 能同時有多臺DHCP伺服器存在,這其中有的是網路管理員專門架設的,也有的是無意中接入到網路中的。比方說,ADSL撥號裝置可能就內建有DHCP服務 功能,一旦將該裝置接入到區域網中後,那麼該裝置內建的DHCP伺服器就會自動為客戶端系統分配IP地址。這個時候,經過網路管理員授權的合法DHCP服 務器,就可能與ADSL撥號裝置內建的DHCP伺服器發生地址上的衝突,從而可能會對整個區域網的安全性帶來威脅。這種威脅行為往往比較隱蔽,一時半會很 難找到。一旦使用了DHCP監聽技術,我們就可以在區域網的核心交換機後臺系統修改IP源繫結表中的引數,並以此繫結表作為每個上網埠接受資料包的檢測 過濾標準,來將沒有授權的DHCP伺服器傳送的資料報文自動過濾掉,那樣一來就能有效預防非法DHCP伺服器引起的地址衝突問題了。

維護區域網安全2、預防Dos攻擊

大家知道,一些非常陰險的攻擊者往往會單獨使用Dos攻擊,襲擊區域網或網路中的重要主機系統;要是不幸遭遇Dos攻擊的話,那麼區域網的寶貴頻寬資源 或重要主機的系統資源,就會被迅速消耗,輕則導致網路傳輸速度緩慢或系統反應遲鈍,重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽技術的話, 那麼區域網就可以有效抵禦Dos攻擊了,因為Dos攻擊主要是用大量的連線請求衝擊區域網或重要主機系統,來消耗頻寬資源或系統資源的,而DHCP監聽技 術恰好具有報文限速功能,利用這個功能我們可以合理配置許可的每秒資料包流量,這樣就能實現抵禦Dos攻擊的目的了。

維護區域網安全3、及時發現隱患

大家知道,在預設狀態下核心交換機會自動對第二層Vlan域中的DHCP資料報文進行攔截,具體地說,就是在選用中級代理資訊選項的情況下,交換機在將客 戶端的上網請求轉發給特定的DHCP伺服器之前,它會自動將埠號碼、入站模組、MAC地址、Vlan號等資訊插入到上網請求資料包中。這個時候,如果結 合介面跟蹤功能,DHCP監聽技術就能夠自動跟蹤DHCP伺服器中地址池裡的所有上網地址,而不會受到單位區域網中跨網段訪問的限制,這麼一來就能及時發 現區域網中的一些安全隱患,對於跨網段的DHCP伺服器執行安全也能起到一定程度的防護作用。

維護區域網安全4、控制非法接入

由於任何一種形 式的資料報文,都是通過交換埠完成傳送與接收操作的,顯然交換埠的工作狀態與DHCP監聽的效果息息相關。一般來說,我們會將網路管理員授權的合法 DHCP伺服器所連的交換埠設定為DHCP監聽信任埠,或者是將分佈層交換機之間的上行鏈路埠設定為DHCP監聽信任埠。對於信任埠來說,交換 機會允許它正常傳送或接收所有的DHCP資料報文,這麼一來交換機就會只允許合法的DHCP伺服器對客戶端系統的上網請求進行響應,而非法的DHCP服務 器則不能向區域網傳送或接收DHCP資料報文。很明顯,通過這種技術手段,就能控制非法的DHCP伺服器接入到單位區域網中了。

區域網安全維護配置

為了有效使用DHCP監聽功能,防護區域網的執行安全,我們需要對該功能進行正確配置,讓其按照實際安全執行需求進行工作。由於DHCP監聽功能主要是通 過建立埠信任關係實現資料過濾目的的,為此我們需要重點配置究竟哪些交換埠是信任埠,哪些交換埠是非信任埠。具體的說,我們需要在交換機中進行 下面幾項安全維護配置操作:

維護區域網安全1、信任配置

這種配置主要就是在合法DHCP伺服器所連交換埠上啟用信任,或者是在分佈層或接入層交換機之間的互連埠上啟用信任。如果不對上述重要埠建立信任配 置,那麼普通客戶端系統將無法正常從合法DHCP伺服器那裡接受到有效的上網引數。當然,為了防止普通員工私下搭建DHCP伺服器,威脅合法DHCP服務 器的執行安全,我們有必要將普通客戶端系統所連的交換埠設定為非信任的埠,那樣一來交換機會將來自客戶端系統的提供響應報文自動丟棄掉,此時區域網中 的其他客戶端系統不知道有這臺非法DHCP伺服器的存在。

兩個最簡單的區域網新增印表機方法
區域網中域和工作組的差別介紹
相關知識
怎麼維護區域網安全介紹
路由器怎麼設定區域網方法介紹
怎麼保護區域網檔案伺服器安全
怎麼保護區域網上網安全
怎麼保護區域網的上網安全
怎麼保護區域網的安全實現安全上網
怎麼防護區域網受到攻擊
天貓魔盒怎麼通過區域網安裝直播軟體
怎麼通過區域網安裝系統
怎麼維護電腦的安全