本文关于如何做好局域网的安全维护,据
亚洲金融智库2022-05-22日讯:
维护局域网安全1、预防地址冲突DHCP监听技 术可以防止非信任DHCP服务器通过地址冲突的方式,干扰信任DHCP服务器的工作稳定性。在实际管理网络的时候,我们经常会发现在相同的工作子网中,可 能同时有多台DHCP服务器存在,这其中有的是网络管理员专门架设的,也有的是无意中接入到网络中的。比方说,ADSL拨号设备可能就内置有DHCP服务 功能,一旦将该设备接入到局域网中后,那么该设备内置的DHCP服务器就会自动为客户端系统分配IP地址。这个时候,经过网络管理员授权的合法DHCP服 务器,就可能与ADSL拨号设备内置的DHCP服务器发生地址上的冲突,从而可能会对整个局域网的安全性带来威胁。这种威胁行为往往比较隐蔽,一时半会很 难找到。一旦使用了DHCP监听技术,我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数,并以此绑定表作为每个上网端口接受数据包的检测 过滤标准,来将没有授权的DHCP服务器发送的数据报文自动过滤掉,那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。维护局域网安全2、预防Dos攻击大家知道,一些非常阴险的攻击者往往会单独使用Dos攻击,袭击局域网或网络中的重要主机系统;要是不幸遭遇Dos攻击的话,那么局域网的宝贵带宽资源 或重要主机的系统资源,就会被迅速消耗,轻则导致网络传输速度缓慢或系统反应迟钝,重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话, 那么局域网就可以有效抵御Dos攻击了,因为Dos攻击主要是用大量的连接请求冲击局域网或重要主机系统,来消耗带宽资源或系统资源的,而DHCP监听技 术恰好具有报文限速功能,利用这个功能我们可以合理配置许可的每秒数据包流量,这样就能实现抵御Dos攻击的目的了。维护局域网安全3、及时发现隐患大家知道,在默认状态下核心交换机会自动对第二层Vlan域中的DHCP数据报文进行拦截,具体地说,就是在选用中级代理信息选项的情况下,交换机在将客 户端的上网请求转发给特定的DHCP服务器之前,它会自动将端口号码、入站模块、MAC地址、Vlan号等信息插入到上网请求数据包中。这个时候,如果结 合接口跟踪功能,DHCP监听技术就能够自动跟踪DHCP服务器中地址池里的所有上网地址,而不会受到单位局域网中跨网段访问的限制,这么一来就能及时发 现局域网中的一些安全隐患,对于跨网段的DHCP服务器运行安全也能起到一定程度的防护作用。维护局域网安全4、控制非法接入由于任何一种形 式的数据报文,都是通过交换端口完成发送与接收操作的,显然交换端口的工作状态与DHCP监听的效果息息相关。一般来说,我们会将网络管理员授权的合法 DHCP服务器所连的交换端口设置为DHCP监听信任端口,或者是将分布层交换机之间的上行链路端口设置为DHCP监听信任端口。对于信任端口来说,交换 机会允许它正常发送或接收所有的DHCP数据报文,这么一来交换机就会只允许合法的DHCP服务器对客户端系统的上网请求进行响应,而非法的DHCP服务 器则不能向局域网发送或接收DHCP数据报文。很明显,通过这种技术手段,就能控制非法的DHCP服务器接入到单位局域网中了。局域网安全维护配置为了有效使用DHCP监听功能,防护局域网的运行安全,我们需要对该功能进行正确配置,让其按照实际安全运行需求进行工作。由于DHCP监听功能主要是通 过建立端口信任关系实现数据过滤目的的,为此我们需要重点配置究竟哪些交换端口是信任端口,哪些交换端口是非信任端口。具体的说,我们需要在交换机中进行 下面几项安全维护配置操作:维护局域网安全5、信任配置这种配置主要就是在合法DHCP服务器所连交换端口上启用信任,或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置,那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然,为了防止普通员工私下搭建DHCP服务器,威胁合法DHCP服务 器的运行安全,我们有必要将普通客户端系统所连的交换端口设置为非信任的端口,那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉,此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。
专题推荐:
局域网(76)做好(355)维护(58)