资源描述
企业内网的安全与管理
摘要
一直以来,安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
关键字:安全,风险,控制 ,防御
目录
第一章、 背景分析 4
1、信息:内部机密文档安全 5
2、用户:用户桌面行为规范 5
3、系统:系统维护、资产管理 6
第二章、需求分析 6
2.1 企业的设计目标 7
2.2构建企业内网总体介绍 7
第三章、网络接入选择 7
第四章、企业的四个子网 8
第五章、企业拓扑结构图 9
6.1 WEB服务器的配置 11
6.2.1DNS服务器安装与配置 12
6.3 FTP服务器安装与配置 13
6.4 安装配置邮件服务器 14
6.5 DHCP服务器安装与配置 14
第七章、防范内部人员 16
参考文献 19
致谢 19
第一章、 背景分析
内网安全的首要任务:全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全。
现代计算机及通信技术飞跃发展,企业内部管理的网络化及信息化成为一种必然的发展趋势,网络技术己经广泛地应用到各个技术领域和整个社会的各个方面。许多企业都已建成或正在组建自己的企业网络。本设计就企业网络的总体规划进行了可行性的论证,并可作为将来真正实现企业网建设的一个方案。
另外,基于企业网络的开发是将先进技术应用到企业内部,通过简单的浏览界面,方便地集成了各类已有的服务,极大改变了传统的信息系统的结构设计,开发环境和应用环境,打破了信息共享的障碍。
企业内网对于一个企业网络安全面临的风险,并充分评估这些风险可能带来的危险,将是实施安全建设中必须首要解决的问题,也是制定安全策略的基础和依据。那么,究竟企业在那些方面存在安全风险?企业内网安全产品又能给企业带来什么样的价值?对此,溢信科技研发总监黄凯从内网安全涉及到的信息、用户、系统三方面做了解读。
1、信息:内部机密文档安全
企业中与业务相关的信息有九成左右都会以电子文档的形式存在,这些内部信息往往涉及商业机密,甚至是企业的核心关键技术,保密性要求甚高,一旦泄密,极有可能给企业带来巨大的经济损失。
1.1企业内部可能存在专门的文档服务器,用以存储各类文档。如果缺乏有效的管理,任何内网用户都可以接触到文档,即可随意把企业内部文件甚至机密信息传播出去,造成企业重大的损失。因此,企业需要对文档进行高强度的加密并设置基于角色的用户权限管理。IP-guard采用高强度的透明加密技术,对机密信息进行安全保护,使文件在用户新建后就自动被加密保护。加密后的文件即使被非法传输到企业外部也无法解密和应用。另外,还能够根据不同的部门和级别,设置不同的内部文档访问控制权限,从而建立完整的保密体系。
1.2企业内部或许缺乏对移动存储设备进行有效的管控,任何人都可以使用自己的U盘、MP3、移动硬盘等设备复制转移电子文档,文档泄露的隐患大大增加。如果彻底禁止U盘的移动设备的使用,又会为企业内部正常的文档传输带来不便。因此,企业需要在享受移动存储设备带来的便捷性的同时最大限度保障信息安全。IP-guard能够解决组织内部移动存储设备应用矛盾,其核心是在总体控制计算机外部设备包括USB、蓝牙、光存储设备使用权限的基础上,分类规范网内的移动存储设备使用行为并进行加密,辅之以全面的移动存储审计,最终达到移动存储设备便携性与安全性兼得的目的。
1.3企业员工因工作需要经常使用qq、飞信、MSN、电子邮件等基于网络的程序运用,这些程序都有文件传输功能,如果不对其进行限制,文件被有意或者无意泄露的风险性很大。所以,企业应该对电子邮件、即时通讯工具进行有效的管理和控制。IP-guard能够对外发文档的权限进行管理。限制外发超过指定大小或包含指定关键字的文档,甚至彻底禁止外发文档,保护重要的文档不会通过即时通讯工具泄露出去。同时完整记录用户的聊天内容、发送的邮件内容,方便管理者了解用户在进行对话时是否有意或无意地泄露公司重要信息。
2、用户:用户桌面行为规范
除了企业内部的机密信息,对企业发展起到至关重要作用的就是员工的工作效率。网络的普及,无疑改善了员工的工作条件,提高了企业的整体效率。但是,企业内部可能存在部分员工沉迷于网络或者桌面游戏,忽视专职工作,严重影响企业发展。
1.2.1部分用户可能存在不规范的桌面行为,比如上班时间炒股、浏览无关新闻、网上游戏、看在线电影、听音乐等,工作效率十分低下,同时还存在BT下载、在线视频、迅雷应用等P2P行为,导致公司带宽经常被堵,正常的网络业务无法开展。企业必须对上网行为进行适当的管控和审计。IP-guard能够过滤一切与工作无关的应用程序,分时段或全天候阻止游戏、炒股、媒体播放、即时通讯、BT等程序的运行。同时,还可限制P2P软件的使用,帮助企业合理分配带宽资源,力保网络平稳。另外,IP-guard还提供用户应用程序和网页浏览情况的统计表,让管理者对用户的桌面行为一清二楚。
1.2.2丰富的网站资源除了带来有用的信息,还包含一些色情、反动类型的网站及其应用,员工的不良上网行为可能导致病毒、木马被非法下载进入企业内部。IP-guard可过滤黄色、暴力和恶意传播病毒的网站,保证用户在合规、合法范围内使用网页,既不能访问下载也不能上传散播任何含色情暴力成分的内容。
3、系统:系统维护、资产管理
企业要健康发展,还离不开IT系统的正常运作。由于企业规模的扩大、实力的增强,企业的办公地点可能分布在不同楼层甚至不同地区,由此造成大量计算机系统分布分散、企业内部的资产统计工作非常繁琐。
计算机系统,是企业内部必不可少的一个重要组成部分。维护系统的正常运转是IT管理员的日常工作,由于缺少适合的管理工具,企业内部动辄几百上千台计算机系统维护,也使得有限的IT管理人员对系统的日常维护变得不再灵活,系统漏洞风险不断升高。
针对此情况,系统管理员可以通过IP-guard控制台实时查看客户端计算机的应用程序、网络连接、进程、系统信息等基本资料和运行情况,在单一控制台上就可以实现对整个网络内计算机运行信息的掌握。同时它还可以协助管理员对系统运行情况做分析,在系统发生异样时及时解决,预防系统故障的发生。另外,系统管理员可以在IP-guard控制台直接远程控制和操作任一计算机,可在控制台对需要帮助的远程计算机进行操作,实现远程桌面访问、双向文件传输。
多数企业内部存在着大量的软、硬资产和非IT资产。如果使用传统的资产维护和管理方法,既繁琐而又耗费时间,人手统计完毕后还得手工录入信息。当资料统计或录入到一半时,系统新增了资产,工作往往因此而被打断。如此重复多次,IT管理者也难免变得糊涂,繁琐手续就变得如此简单。因此,企业亟需一种简单的方法统计内部资产。IP-guard自动搜索和整合企业网络内客户端计算机的IT资产信息,并集中记录硬件型号,节省人手统计的时间,同时也可自动统计软硬件资产的变更,提供一目了然的软硬件资产变更列表,让系统管理员通过控制台的数据便可对资产变动了如指掌,时刻掌握最新最准确的资产信息。既可减轻系统管理员的工作负担,又可避免资产的遗失与侵占。
第二章、需求分析
2.1 企业的设计目标
企业为了与时俱进,满足市场供求,充分利用网络上的信息资源是必然,来满足不断出现的对环境的要求。企业网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,来提高企业的办公质量和效率。
2.2构建企业内网总体介绍
本着办公自动化和资源共享的原则将企业的500台计算机组织成为一个小型的办公局域网。本方案主要采用星形与树型相结合的混合型拓扑结构对网络进行构建,划分四个子网,采用交换机将四组计算机连接起来组成内部局域网。并使用拨号上网的方式进行网络连接。
2.3用户需求
近年来企业设备共享和信息资源的管理越来越重要,因此公司需要一个实时、安全、高速、稳定的信息交换平台,来保证公司那频繁且庞大的信息传输量,从而提高工作效率,达到设备共享,缩小巨大的设备开资,好充分利用有限的资金来提高企业的发展,适应高速发展的信息化社会。同时借助Internet来打破地域的限制,涉取多样的市场需求信息及选进的科学技术。
2.4功能需求
企业网络涉及四个子系统:生产用电脑,管理用电脑,财务用电脑,劳资系统电脑
系统同时要满足OA及业务系统数据流为主的应用,网络的体系结构要能支持以OA/业务数据流的应用,系统能够实现资源共享和信息流的无阻塞通畅流转,包括文件传输、WEB访问、邮件传输、信息查询、以及内部Intranet/Extranet应用等。同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。
因此,所采用的设备必须支持TCP/IP以及SPX/IPX、FTP协议,支持各路路由协议,同时支持IP Multicast,Qos,RSVP等局域网和广域网多媒体应用技术。提供足够的带宽,从而实现OA、业务数据流与多媒体应用的实现。
所以,网络设备选择要能够满足企业级的应用,同时主干交换机不但能够满足目前的应用,还要能够对将来系统扩充保持一定的扩容能力,以及适当的灵活性,以便网络扩充和增加新的功能。
第三章、网络接入选择
企业组建网络的目标是以信息技术为手段,把分布在不同地点的现有资源迅速地组合成为一个没有(或几乎没有)时间和空间约束、靠电子手段联系的统一指挥的经营实体,从而达到企业生存和发展的高效性、稳定性和长期性。
在企业中,由于布线在企业中,由于布线系统费用与实现上的限制,对于零散的远程用户接入,利用PSTM市话网络进行远程拨号访问几乎是唯一的经济、简便的选择。远程拨号访问需要规划远程访问服务器和Modem设备,并申请一组中继线(企业内部有PABX电话交换机则最好)。由于整个网络中惟一的窄宽设备,这一部分在未来的网络中可能会逐步减少使用。远程访问服务器(RAS)和Modem组的端口数目一一对应,一般按一个端口支持20个用户计算来配置。
远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。由于上述原因,远程访问技术长期以来一直使用一种最为普通、随处可得的传输媒介——PSTN(公用电话网)。利用Modem模拟拨号技术来实现远程连接。利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem(调制解调器),对于用户来说,一次性投入很小。当然如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个信道。而企业需在局域网边缘设置远程访问接入设备并配备一定数量的语音中继线路供远程访问用户拨入。
图3-1
第四章、企业的四个子网
我按公司各单位的部门划分,公司电脑可分为以下四种四个子网:一是生产用电脑,二是管理用电脑,三是财务用电脑,四是劳资系统电脑。经过分析,我们将企业局域网按应用类型分为对应的四个子网:生产子网(LAN1);管理子网(LAN2);劳资子网(LAN3);财务子网(LAN4)。这四者连接起来构成了企业的主干网。如下图:
图4-1企业主干网
3IP规划
首先,要考虑选用哪一段专用IP地址。小型企业可以选择“192.168.0.0”地址段,大中型企业则可以选择“172.16.0.0”地址段。
如果我们根据网络中计算机的数量来决定需采用的IP地址,这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制,假如不久后企业决定又要购进一批计算机,整个网络就可能因为选取的IP地址不合适而导致重新设计。其实网络的划分并不是很复杂,只要考虑到在可预见的将来的网络情况就可以了,同时要注重它的通用性及其稳定性。
在这里,因为N公司需要划分4个子网 :
子网1网络地址:172.16.1. 1/24 1-254可用 255广播地址
子网2网络地址:172.16.2. 1/24 1-254可用 255广播地址
子网3网络地址:172.16.3. 1/24 1-254可用 255广播地址
子网4网络地址:172.16.4. 1/24 1-254可用 255广播地址
划分了4个子网,每个子网254台主机,为以后添加主机作好准备。
远程数据库上客户端或本地数据库客户端通过Internet或局域网与中转服务器建立连接(中转服务器IP地址/互联网域名为固定的),中转服务器保存各客户端的动态IP地址;远程数据库要求与本地数据库交换数据,中转服务器在两者之间建立一条暂时的通道;通过远程数据库与本地数据库通道完成数据交换。
第五章、企业拓扑结构图
图5-1企业网络拓扑结构图
第六章、网络服务器的配置与安装
安装需求
根据公司需求选择性的配置一些服务器(WWW服务器、FTP服务器、DNS、DHCP、E-MAIL等)。
6.1 WEB服务器的配置
万维网(World Wide Web)是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web服务器、浏览器及通信协议等3部分组成。
www中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言来编写,HTML对Web页的内容、格式及Web页中的超链进行描述。Web页间采用超级文本(HyperText)的格式互相链接。
在Windows 2000中推出了Internet Information Server 5.0(简称IIS5.0)提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。IIS是基于TCP/IP的Web应用系统,使用IIS可使运行Windows 2000的计算机成为大容量、功能强大的Web服务器。IIS不但可以通过使用HTTP协议传输信息,还可以提供FTP和Gopher服务,这样,IIS可以轻松地将信息发送给整个Internet上的用户。
IIS5.0的具体安装步骤如下:
一、控制面板---添加或删除程序,点击“添加/删除Windows组件”按钮。
二、选择“Internet信息服务(IIS)”,单击“下一步”开始安装,单击“完成”结束。
选择“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务” 管理窗口,窗口显示计算机上已经安装好的Internet服务,而且都已经自动启动运行,其中Web站点有两个,分别是默认Web站点及管理Web站点。
1.使用IIS的默认站点
一、将制作好的主页文件(html文件)复制到\Inetpub\wwwroot目录。
二、将主页文件的名称改为Default.htm。现在进行的都是IIS默认动作。完成这两个步骤后,打开本机或客户机浏览器,来浏览站点,测试Web服务器是否安装成功,WWW服务是否运行正常。
站点开始运行后,如果要维护系统或更新网站数据,可以暂停或停止站点的运行,完成上述工作后,再重新启动站点。
2.添加新的Web站点
步骤一、打开“Internet信息服务窗口”,右键单击要创建新站点的计算机,在弹出菜单中选择“新建”/“Web站点”,出现“Web站点创建向导”,单击“下一步”继续。
步骤二、然后输入说明文字,单击“下一步”,输入新建Web站点的IP地址和TCP端口地址。如果通过主机头文件将其它站点添加到单一IP地址,必须指定主机头文件名称。
Web站点建立好之后,可以通过“Microsoft 管理控制台”进一步来管理及设置Web站点,站点管理工作既可以在本地进行,也可以远程管理。
3.测试过程
首先在客户机的IE浏览器中输入Web服务器的IP地址,如果配置结果正确的话,客户机将会显示Web服务器上所建立的网页,如果不能够访问,则可以用以下命令进行测试:Ping及Tracert。
用法如下:
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] destination-list
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
Options:
-d Do not resolve addresses to hostnames.
-h maximum_hops Maximum number of hops to search for target.
-j host-list Loose source route along host-list.
-w timeout Wait timeout milliseconds for each reply.
Ping命令用于测试网络的连通性,Tracert命令用于测试路由的走向。
在客户机上Ping Web服务器,如果通的话则可以正常访问。如果不通可按以下步骤进行测试:
1.在客户机上Ping其它四台计算机,测试是否连通。在实验过程中发现一个问题:Ping DNS服务器,测试其连通性。如果正常,则可暂时确定问题出在DNS服务器与Web服务器之间。
2.如果计算机之间通信正常但还不能正确访问Web服务器则可用Tracert Web服务器IP 命令查看其路由走向。从而确定问题的所在。
6.2.1DNS服务器安装与配置
一、配置IP地址
打开“本地连接”属性对话框,双击“Internet 协议 (TCP/IP)”,填上IP地址、子网掩码、默认网关和DNS服务器地址。
二、 DNS服务程序的安装
1、打开“网络和拨号连接”,或者打开控制面板(“开始”-“设置”-“控制面板”-“添加/删除程序”-“添加/删除Windows 组件”-“网络服务”)。
2、单击“添加网络组件”,选中“网络服务”,打开“详细信息”。网络服务详细信息
3、选中“域名系统DNS”,单击“确定”,单击“下一步”。
4、插入“Windows 2000 Server”光盘,安装DNS系统文件。
5、安装完后,在“管理工具”下增加了“DNS”菜单项。
三、DNS服务程序的配置
在域中,有这样几台计算机需要加到DNS服务器中。
的邮件服务器名为,IP地址为192.168.0.41
的WWW服务器名为,IP地址为192.168.0.31
W的FTP服务器名为FTP,IP地址也为192.168.0.31,即和 WWW服务器同一台。
中的主DNS服务器名为,IP地址为192.168.0.21
因为要建自己的域名服务,将自己的机器作为域名服务器,所以要修改自己机器的名称为NS,域名修改为“”,现在这台服务器名称为。配置步骤:
1、创建区域。
(1)打开“开始”-“程序”-“管理工具”-“DNS”
(2)添加“正向搜索区域”。右键单击“正向搜索区域”,单击“新建区域”-“新建区域向导”。
(3) 单击“下一步”,输入区域名称“”。
(4) 单击“下一步”,创建新文件,文件名采用默认名,为“.dns”。
(5) 单击“下一步”,完成“新建区域向导”。
2、创建反向搜索区域
反向搜索区域不一定非要创建,但是加上它,可以使用NSLOOKUP工具来诊断你的DNS服务器故障。
(1) 右键单击“反向搜索区域”,单击“新建区域”,按“新建区域向导”单击“下一步”-“下一步”。
(2) 填入IP地址网络号192.168.0。
(3) 单击“下一步”,创建区域文件“0.168.192.in-addr.arpa.dns”
(4)单击“下一步”,单击“完成”,完成“反向搜索区域”的安装。这样你就拥有了两个区域,正向搜索区域和反向搜索区域,如所示。
3、 域的属性设置
右键单击“”,单击“属性”,就弹出带有五个页签的属性窗口。第一个页签是“常规”,区域文件名“.dns”在“C:\WINNT\SYSTEM32”下,可以先备份下来,以便发生灾难时的修复。默认情况下,“允许动态更新(w)”为“否”,如果你想让这台DNS服务器为Windows 2000的域提供服务的话,会引起问题的,因此将“否”改为“是”。同样,右键单击“192.168.0.x Subnet”,单击“属性”,修改“允许动态更新”为“是”。
4、创建记录
(1)创建主机记录即A记录
(2)置反向查询记录
6.3 FTP服务器安装与配置
一、FTP服务器的配置及使用
打开“Internet信息服务”窗口,右键单击“默认FTP站点”,选择“属性”选项。出现2对话框。有五个选项卡。
1、FTP站点
TCP端口号默认是21,设置其他端口号,如24。在连接栏,根据系统的容量和带宽,限制连接的数量。一个下载窗口就是一个连接。启用日志记录与WWW属性类似。单击当前会话按钮,这里列出了连接到FTP服务器的所有用户、它们的IP地址和已经连接的次数。
2、安全帐号
在FTP服务器上,通常有两种用户连接:匿名登录和用户登录。匿名登录在Internet下非常普遍,使用的用户名是“anonymous”。如果你的FTP公开,通过允许匿名登录。否则用户登录方式,需要用合法的用户名和密码才能登录进去。
FTP站点安全帐号消息FTP的客户界面比较单一,但是我们可以设置个性化的界面。当用户登录进来后,我们发送欢迎消息,当用户退出后,给出退出信息。如果你的服务器已达到限制的最大连接数目,就会发送一条最大连接数的消息给用户,并立刻断开连接。
3、主目录
FTP站点的内容位置可以来自于本机或共享目录。此处与WWW属性页中的设置类似。但权限只有三项:读取、写入和日志访问。
4、目录安全性
这个页面中,可以限制访问站点的IP地址。比如,拒绝访问的IP地址是一个C类地址210.45.160.0。
5、虚拟目录
建立FTP虚拟目录,方法同WWW虚拟目录创建的方法。
6.4 安装配置邮件服务器
邮件服务器的安装其实就是PO3、SMTP服务相关组件的安装,本文主要为大家介绍如何利用“配置您的服务器向导”进行安装邮件服务器。
(1)执行【开始】→【管理工具】→【配置您的服务器向导】菜单操作,打开如下图所示对话框。
(2)单击“下一步”按钮,打开如下图所示对话框。这是一个预备步骤,在其中提示了在进行以下步骤前需要做好的准备工作。
(3)单击“下一步”按钮,打开如图所示对话框。在其中选择“邮件服务器(POP3,SMTP)选项。
(4)单击“下一步”按钮,打开如图所示对话框。在其中要求选择邮件服务器中所使用的用户身份验证方法,一般如果是在域网络中,选择“Active Directory集成的”这种方式,这样邮件服务器就会以用户的域帐户进行身份认证。然后在“电子邮件域名”中指定一个邮件服务器名,本示例为grfwgz.mail。
(5)单击“下一步”按钮,打开如图47所示对话框。这是一个选择总结对话框,在列表中总结了以上配置选择。
(6)单击“下一步”按钮后系统开始安装邮件服务器所需的组件,进程如图所示。不过在此过程中,系统会提示用户指定Windows Server 2003系统源程序所在位置,以便复制所需文件。
(7)完成文件复制后系统会自动打开如图49所示向导完成对话框。直接单击“完成”按钮完成邮件服务器的整个安装过程。完成后执行【开始】→【管理工具】→【管理您的服务器】菜单操作,在打开的如图50所示“管理您的服务器”窗口即可见到刚才安装的邮件服务器了。单击“管理此邮件服务器”即可打开邮件服务器窗口。
6.5 DHCP服务器安装与配置
㈠ 安装DHCP服务
⒈配置IP地址
选择一台已经安装好Windows 2003的服务器,确认其已安装了TCP/IP协议,首先设置服务器自己TCP/IP协议的配置,这里需要注意的是DHCP服务器本身的IP地址必须是固定的,也就是其IP地址、子网掩码、默认网关等数据必须是静态分配的。
⒉DHCP服务程序的安装
⑴打开控制面板(“开始”-“设置”-“控制面板”-“添加/删除程序”-“添加/删除Windows 组件”-“网络服务”)。
⑵选中“网络服务”,单击“详细信息”按钮。打开“网络服务”对话框。
⑶选中“动态主机配置协议(DHCP)”复选框,单击“确定”,返回“Windows组件向导”对话框,单击“下一步”。
注意:安装DHCP系统文件时,需要插入“Windows server 2003”光盘,。
⑷安装完后,在“管理工具”下增加了“DHCP”菜单项。
㈡ 配置DHCP服务器
⒈打开DHCP管理器。选“开始-程序-管理工具-DHCP”,默认的,DHCP窗口已经有服务器的FQDN( Fully Qualified Domain Name,完全合格域名),比如“”。
⒉如果列表中还没有任何服务器,则需添加DHCP服务器。选“DHCP-右键-添加服务器”,选“此服务器”,再按“浏览”选择(或直接输入)服务器名(即你的服务器的名字)。
⒊打开作用域的设置窗口。先选中FQDN名字(即),再按“右键-新建作用域”。
⒋设置作用域名。此地的“名称”,“说明”项只是作提示用,可填任意内容。单击“下一步”。
⒌设置可分配的IP地址范围:这里我们分配为“192.168.0.1~192.168.0.50”,则在“起始IP地址”项填写“192.168.0.1”,“结束IP地址”项填写“192.168.0.50;“子网掩码”项为“255.255.255.0”,此项内容自动生成。单击“下一步”。
⒍如果有必要,可在该对话框的选项中输入欲保留的IP地址或IP地址范围,这里我们可以在“起始IP地址”项填写“192.168.0.5”,然后单击添加,这时“192.168.0.5”即为保留地址;否则直接单击“下一步”。
⒎这里“租约期限”可设定DHCP服务器所分配的IP地址的有效期,比如设置一年(即365天),默认为8天。单击“下一步”。
⒏如果选“是,我想配置这些选项”接下来的工作就是给工作站配置默认的网关、默认的DNS服务地址、默认的WINS服务器。也可以不作任何设置,直接单击下一步,以后再配置。最后再根据提示选“是,我想激活作用域”单击“完成”即可结束最后设置。
⒐DNS客户端的设置
在安装Windows 2000 professional 和Windows server 2003的客户机上,运行“控制面板”中的“网络和拨号连接”,在打开的窗口中右击“本地连接”,选择“属性”,在“本地连接属性”对话框中选择“Internet协议(TCP/IP)”/“属性”,出现“Internet协议(TCP/IP)”/“属性”对话框,在该对话框内选择“自动获得IP地址”选项。
⒑DHCP作用域的修改、停用、激活、删除
右击“作用域”,在快捷菜单中,分别选择“属性”,“停用”,“激活” ,“删除”子项,实现其功能。在选择“属性”子项后,可对 “作用域名”、“起始IP地址”、“结束IP地址” “DHCP客户的租用期”,进行修改。
㈢ 使用ipconfig命令测试配置后的DHCP服务器
在局域网的任一客户机上单击“开始”-“运行”,输入cmd命令,进入命令提示符下,输入“ipconfig /all”,如果测试成功,客户机所获IP地址必在DHCP服务器所设IP地址的区间内。另外测试时,如果使用了all参数,还可以看到DHCP服务器的IP地址及其它信息。
第七章、防范内部人员
1、网络设备权限管理:在企业网络中,路由器、防火墙等网络设备都与互联网和内网相连接。为了企业网络的安全,企业网管通常禁止外部的IP地址访问路由器及防火墙等网络设备,并没有限制内部网络地址对路由器及防火墙待网络设备的访问管理。从表面看,网络设备的权限管理非常合理,可是,一旦内网中的计算机感染了网络病毒,可能会向路由器或三层交换机拼命发包,影响网络的传输效率。为此,对于企业内网的计算机终端,以及内网用户,也要分配适当的网络设备管理权限。
图7-1 无线路由器登陆界面
另外,一些规模比较大的企业网络可能会配备多名网管,在工作中,经常会出现多名网管共用一个网络设备管理帐号的情况。为了明确责任,笔者强烈建议每名网管建立一个管理帐号,并做出详细的分工,这样可以保证网络设备管理的有序性。
2、网络访问权限管理:网络访问权限的管理,一是体现在对互联网的访问权限,另外就是对企业网内部网络资源的访问权限。对于企业内网中的不同用户,要分配相应的网络访问权限。举个例子来说,财务部的计算机存放着企业的重要数据,平时工作无需登录互联网,这种情况下,企业网管就无需分配财务部工作人员互联网访问权限。同时,为了限制员工在工作时间利用MSN、QQ等即时通讯软件聊天,也可以通过技术手段限制内网员工的MSN和QQ等即时通讯软件的网络使用权限。
图7-2文件夹访问权限设置
除了合理分配企业工作人员的互联网访问权限之外,还要分配企业工作人员一定的内网访问权限,尤其是对于部署了无线网络的企业来说 ,更要严格限制对企业内网的访问权限。不少企业的会议室或接待室中留有双绞线接口,只要插上网线,外来人员携带笔记本就可以访问企业内部网络,这加大了病毒入侵的机率,同时也有可能会使企业网络内部的一些资源泄露。为此,企业网管必须使用IP地址和MAC认证等技术手段,限制企业以外所有电脑终端进入企业内部网络。
另外,企业网管还要根据实际工作需要,为每位员工分配内部网络访问权限。例如,市场部服务器的资源,不能对技术部员工开放,但必须对总经理办公室的工作人员开放。只有设置非常合理的网络访问权限,企业网络才能正常运行,企业的资料才不会外泄。
3、网络硬件资源使用管理:网络硬件资源的使用,是最容易给企业网络带来隐患之处。随着各种USB设备的盛行,一些员工在工作时间通常会利用办公室的电脑下载音乐到自己的MP3播放器或手机,将文件复制到U盘更是频率比较高的一种操作。然而,这些对企业网络硬件资源的使用,有可能为企业内网带来病毒,也有可能泄露企业网络中的机密数据。为此,企业网管千万不能忽视对网络硬件资源的使用和管理。
图7-3 台式电脑的USB接口
对于USB接口,以及刻录机等硬件设备的使用,一定要严格管理。禁止员工通过USB接口与办公室电脑交换文件,禁止员工使用刻录机刻录办公室电脑的相关数据。如果遇到办公室电脑硬件出现故障,更换硬盘时,企业网管一定要监督维修单位清空硬盘中的所有数据。在维修电脑时,企业网管要监督维修人员,禁止维修人员转移办公室电脑中的数据。总之,对于网络硬件资源的使用管理,一定要以严格防护为宗旨,全面保护企业网内网的安全稳定运行。
参考文献
1) {企业内网管理} 清华大学出版社 2003版 2003:60
2) {计算机内网安全} 吉林大学出版社 2008版 2008:190
3) 本文为IT168网络通信频道(),作者:贾敬华
XVI
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
