怎么维护区域网安全介绍
发布网友
发布时间:2023-08-02 21:34
共1个回答
热心网友
时间:2023-08-27 12:59
为了提高区域网的地址管理效率,相信很多网路管理员都会在单位内部架设一台DHCP伺服器,来为网路中的客户端系统自动分配上网引数,在这种上网环境下,DHCP伺服器的工作安全性,会直 接影响着整个区域网的执行安全性。下面由我给你做出详细的!希望对你有帮助!
:
区域网安全维护思路:
对于DHCP伺服器来说,DHCP监听技术其实就是一种过滤DHCP报文的技术。通过在区域网的核心交换机中启用DHCP监听功能,可以将来自区域网中重 要主机或网路装置的不可信任DHCP报文过滤掉,保证客户端系统只能从经过网路管理员特别授权的可信任DHCP伺服器那里获得上网引数,那样一来可信任的 DHCP伺服器就不会受到非信任DHCP伺服器的“干扰”,那么区域网的执行安全性、稳定性就能得到保证。比方说,区域网中原先只有一台可信任的DHCP 伺服器,当用户不小心将自带有DHCP服务功能的列印伺服器接入到网路后,那么列印伺服器就会“摇身”变成一台非信任的DHCP伺服器,这时区域网中就会 同时存在两台DHCP伺服器,那么普通的客户端系统该从哪一台DHCP伺服器中获得上网引数呢?为了保证客户端系统能够获得合法上网引数,我们只要在交换 机上启用了DHCP监听功能,那么普通客户端系统就会忽略列印伺服器的存在,而会自动向可信任的DHCP伺服器去申请上网引数。
DHCP监听功能在工作的时候,交换机会只允许客户端使用者传送DCHP请求,同时会将类似提供响应的其他DCHP报文自动丢弃掉,这么一来普通客户端系统 只能从合法的DHCP伺服器那里获得有效的上网引数;虽然非法的DHCP伺服器也能够对客户端系统的上网请求进行响应,但是交换机的DHCP监听功能会将 非法DHCP伺服器的提供响应报文自动丢弃掉,那么客户端系统是无法接受到非法DHCP伺服器的回复报文的。此外,通过DHCP监听功能,交换机会将局域 网中的DHCP报文,自动识别为可信任的DHCP报文和不可信任的DHCP报文,对于来自防火墙、*装置或者没有经过网路管理员授权的DHCP伺服器发 送过来的DHCP报文,DHCP监听功能会自动将它识别为不可信任的DHCP报文,同时对这样的报文执行丢弃处理,那样一来没有授权的非信任DHCP服务 器就不会干扰区域网的安全执行。
区域网安全维护范围:
DHCP监听技术在保护区域网的DHCP伺服器执行安全时,主要是通过过滤资料报 文的方式,来将DHCP伺服器识别为信任埠或非信任埠的,对于来自信任埠的资料资讯,交换机会允许其正常接受和传送,而对于来自非信任埠的资料信 息,交换机则不予响应。具体的来说,DHCP监听技术的安全维护范围主要表现在以下几个方面:
维护区域网安全1、预防地址冲突
DHCP监听技 术可以防止非信任DHCP伺服器通过地址冲突的方式,干扰信任DHCP伺服器的工作稳定性。在实际管理网路的时候,我们经常会发现在相同的工作子网中,可 能同时有多台DHCP伺服器存在,这其中有的是网路管理员专门架设的,也有的是无意中接入到网路中的。比方说,ADSL拨号装置可能就内建有DHCP服务 功能,一旦将该装置接入到区域网中后,那么该装置内建的DHCP伺服器就会自动为客户端系统分配IP地址。这个时候,经过网路管理员授权的合法DHCP服 务器,就可能与ADSL拨号装置内建的DHCP伺服器发生地址上的冲突,从而可能会对整个区域网的安全性带来威胁。这种威胁行为往往比较隐蔽,一时半会很 难找到。一旦使用了DHCP监听技术,我们就可以在区域网的核心交换机后台系统修改IP源系结表中的引数,并以此系结表作为每个上网埠接受资料包的检测 过滤标准,来将没有授权的DHCP伺服器传送的资料报文自动过滤掉,那样一来就能有效预防非法DHCP伺服器引起的地址冲突问题了。
维护区域网安全2、预防Dos攻击
大家知道,一些非常阴险的攻击者往往会单独使用Dos攻击,袭击区域网或网路中的重要主机系统;要是不幸遭遇Dos攻击的话,那么区域网的宝贵频宽资源 或重要主机的系统资源,就会被迅速消耗,轻则导致网路传输速度缓慢或系统反应迟钝,重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话, 那么区域网就可以有效抵御Dos攻击了,因为Dos攻击主要是用大量的连线请求冲击区域网或重要主机系统,来消耗频宽资源或系统资源的,而DHCP监听技 术恰好具有报文限速功能,利用这个功能我们可以合理配置许可的每秒资料包流量,这样就能实现抵御Dos攻击的目的了。
维护区域网安全3、及时发现隐患
大家知道,在预设状态下核心交换机会自动对第二层Vlan域中的DHCP资料报文进行拦截,具体地说,就是在选用中级代理资讯选项的情况下,交换机在将客 户端的上网请求转发给特定的DHCP伺服器之前,它会自动将埠号码、入站模组、MAC地址、Vlan号等资讯插入到上网请求资料包中。这个时候,如果结 合介面跟踪功能,DHCP监听技术就能够自动跟踪DHCP伺服器中地址池里的所有上网地址,而不会受到单位区域网中跨网段访问的*,这么一来就能及时发 现区域网中的一些安全隐患,对于跨网段的DHCP伺服器执行安全也能起到一定程度的防护作用。
维护区域网安全4、控制非法接入
由于任何一种形 式的资料报文,都是通过交换埠完成传送与接收操作的,显然交换埠的工作状态与DHCP监听的效果息息相关。一般来说,我们会将网路管理员授权的合法 DHCP伺服器所连的交换埠设定为DHCP监听信任埠,或者是将分布层交换机之间的上行链路埠设定为DHCP监听信任埠。对于信任埠来说,交换 机会允许它正常传送或接收所有的DHCP资料报文,这么一来交换机就会只允许合法的DHCP伺服器对客户端系统的上网请求进行响应,而非法的DHCP服务 器则不能向区域网传送或接收DHCP资料报文。很明显,通过这种技术手段,就能控制非法的DHCP伺服器接入到单位区域网中了。
区域网安全维护配置
为了有效使用DHCP监听功能,防护区域网的执行安全,我们需要对该功能进行正确配置,让其按照实际安全执行需求进行工作。由于DHCP监听功能主要是通 过建立埠信任关系实现资料过滤目的的,为此我们需要重点配置究竟哪些交换埠是信任埠,哪些交换埠是非信任埠。具体的说,我们需要在交换机中进行 下面几项安全维护配置操作:
维护区域网安全1、信任配置
这种配置主要就是在合法DHCP伺服器所连交换埠上启用信任,或者是在分布层或接入层交换机之间的互连埠上启用信任。如果不对上述重要埠建立信任配 置,那么普通客户端系统将无法正常从合法DHCP伺服器那里接受到有效的上网引数。当然,为了防止普通员工私下搭建DHCP伺服器,威胁合法DHCP服务 器的执行安全,我们有必要将普通客户端系统所连的交换埠设定为非信任的埠,那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉,此时区域网中 的其他客户端系统不知道有这台非法DHCP伺服器的存在。
