二、局域网端
局域网端则是对内接到企业用户的线路,有些路由器本身有局域网端口,可下接交换机;有的网管则会将路由器先接到骨干交换机,再向下接到一般的交换机。
以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。Qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,IP的管理是顶重要的。IP就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在IP管理方面要注意的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
? 计算机采用固定IP地址:计算机采用固定IP地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定IP,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。
DHCP服务器发放固定IP:DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是DHCP的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行管理。Qno侠诺路由器的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击。
防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。Qno侠诺的IP/MAC绑定功能中,提供“封锁不在对应表列中MAC地址”功能,达到网管未配置的MAC地址完全无法上网的作用。
图一
图一:Qno侠诺路由器的IP/MAC绑定功能,网管可将用户的IP及MAC地址键入,这样可以达到使用DHCP服务时,每次发放固定IP给用户。另外“封锁错误MAC地址”及“封锁不在对应表列中MAC地址”则可提供更进阶的功能,提供进一层的安全保障。
群组管理:除了IP/MAC绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以管理。例如Qno侠诺提供的IP群组功能,就能将不同的IP用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户,适用不同的管制权限或是带宽管理原则,这个功能可以大幅简化管理工作,也可避免管制时出现漏网之鱼的现象。
图二
图二:IP群组功能,可将不同IP用户分类为不同群组,并加以命名,通过群组的管理,一次达到全面性的管制功能。也可避免因为配置的漏失,而产生安全的漏洞。
更多内容请看路由器设置专题、交换机与路由器密码恢复、路由故障处理手册专题,或进入讨论组讨论。
相关专题
- 路由器设置专题 (2384篇文章)
- 交换机与路由器密码恢复 (3942篇文章)
- 路由故障处理手册 (2447篇文章)
- 路由安全配置专题 (11842篇文章)
- Cisco路由器配置手册 (4755篇文章)
- 无线宽带路由器 (7381篇文章)
- 系统安全设置 (23605篇文章)
- 电脑配置手册 (8395篇文章)
- 配置安全的操作系统 (9864篇文章)
- 服务器配置专栏 (10969篇文章)
- 基础知识 黑客域名劫持攻击详细步骤 (0次浏览)
- CISSP的成长之路(十八):详述网络威胁类型 (0次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
