欧美xxx性,亚洲国产色一区,在线中文字幕视频观看

公司內部有很多資源都是珍貴的，也涉及企業隱私。網絡管理員不僅僅要維護網絡的正常運行，還需要保證這些資源不被非法用戶竊取。一般來說每個員工計算機都有足夠強大的用戶名密碼來防范非法用戶入侵，不過企業內部一些網絡資源卻是對外公開的，很多服務器都可開啟了匿名登錄服務。因此要保證資源的足夠安全就需要網絡管理員采取有效的方法來管理甚至是阻止外來人員進入公司網絡。

一，管理原則：

既然我們要處理的是有效管理外來人員進入公司本地網絡的問題，那么關鍵就是要把網絡管理好，不讓外來沒有授權的人員適應計算機接入網絡竊取信息。眾所周知每臺連接到網絡的計算機都要有一個網絡地址——IP地址，沒有了IP地址計算機就無法連接網絡。所以說我們只需要讓沒有授權的人員即使將自己的計算機插到網絡接口也無法獲得IP地址即可。

二，基本方法——禁用DHCP功能：

既然我們要禁止非法外來人員計算機連接到網絡接口上獲得IP地址，就應該在企業網絡中禁止DHCP功能。

（1）服務器上禁用DHCP：

如果公司使用windows 2000或windows 2003建立DHCP服務器，那么我們可以通過停止服務或刪除DHCP組件的方法來關閉DHCP功能。如果服務器使用的操作系統是linux同樣可以禁止DHCP服務的運行。

（2）路由器上禁用DHCP：

除了服務器上存在DHCP服務外，很多路由器上也可以配置DHCP，我們可以登錄路由器管理界面去查看，通過no或undo命令將該DHCP服務關閉。

（3）員工計算機上禁用DHCP：（如下圖）

DHCP設置

現在網絡中有很多DHCP服務建立小工具，所以你的網絡可能有出現有人私自搭建DHCP服務器的現象，我們只需要經常通過計算機執行ipconfig /renew命令來查看即可，發現有個人DHCP服務后可以通過查看網關MAC地址來判斷是哪臺計算機啟動了DHCP服務。

（4）假DHCP服務迷惑外來人員：

如果網絡內部沒有DHCP服務，那么員工建立DHCP服務就成為一件非常容易的事，上面提到的問題3也會頻繁發生。實際上我們可以通過一個假的DHCP來解決外來人員進入公司網絡的問題。一方面假的DHCP服務器分配一個假的IP地址信息，這樣外來人員獲得的地址也是假的無效的，依然無法連接到網絡中；另一方面假的DHCP服務器隨時工作在網絡中，如果有其他人私自建立DHCP服務也會因為網絡中已經存在了另一個DHCP服務器而建立失敗。

三，中級方法——多種辦法應對非法IP：

雖然上面我們通過禁用DHCP服務或建立一個假的DHCP服務可以阻止非法用戶連接網絡后自動獲得IP地址。但是如果非法用戶知道了公司的網絡規劃，對客戶機網絡地址比較了解的話，他就可以自由修改IP地址的設置，從而產生了IP地址非法使用的問題。不過改動后的IP地址在局域網中運行時可能出現的情況如下。?

（1）非法的IP地址即IP地址不在規劃的局域網范圍內。

（2）重復的IP地址與已經分配且正在局域網運行的合法的IP地址發生資源沖突，使合法用戶無法上網。

（3）冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯網，使合法用戶的權益受到侵害。

對于第一種情況非法IP也不能上網，所以我們不用理會。但是第二種和第三種情況則嚴重的影響了公司內部其他員工正常上網，并且公司內部數據也存在丟失的可能。我們這些網絡管理員可以通過以下幾個辦法來對付非法用戶自行修改IP地址。

（1）靜態ARP表的綁定：（如下圖）

對于靜態修改IP地址的問題，可以采用靜態路由技術加以解決，即IP-MAC地址綁定。因為在一個網段內的網絡尋址不是依靠IP地址而是物理地址。IP地址只是在網際之間尋址使用的。因此作為網關的路由器上有IP-MAC的動態對應表，這是由ARP協議生成并維護的。配置路由器時，可以指定靜態的ARP表，路由器會根據靜態的ARP表檢查數據包，如果不能對應，則不進行數據轉發。該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進行跨網段的訪問。

（2）交換機端口綁定：

借助交換機端口的MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態ARP表的問題。可管理的交換機中都有端口MAC地址綁定功能。使用交換機提供的端口地址過濾模式，即交換機的每一個端口只具有允許合法MAC地址的主機通過該端口訪問網絡，任何來自其它MAC地址的主機的訪問將被拒絕。

（3）VLAN劃分：

嚴格來說，VLAN劃分不屬于技術手段，而是管理與技術結合的手段。將具有相近權限的IP地址劃分到同一個VLAN，設置路由策略，可以有效阻止非法用戶冒用其他網段的IP地址的企圖。

（4）與應用層的身份認證相結合：（如下圖）