您现在的位置是:首页 > IT基础架构 > 网络与安全 >

如何阻断外来人员进入公司内网

2008-10-16 16:22:00作者:转转来源:

摘要公司内部有很多资源都是珍贵的,也涉及企业隐私。网络管理员不仅仅要维护网络的正常运行,还需要保证这些资源不被非法用户窃取。一般来说每个员工计算机都有足够强大的用户名密码来防范非法用户入侵,不过企业内部一些网络资源却是对外公开的,很多服务器都可开启了匿名登录...

公司内部有很多资源都是珍贵的,也涉及企业隐私。网络管理员不仅仅要维护网络的正常运行,还需要保证这些资源不被非法用户窃取。一般来说每个员工计算机都有足够强大的用户名密码来防范非法用户入侵,不过企业内部一些网络资源却是对外公开的,很多服务器都可开启了匿名登录服务。因此要保证资源的足够安全就需要网络管理员采取有效的方法来管理甚至是阻止外来人员进入公司网络。

一、管理原则:

既然我们要处理的是有效管理外来人员进入公司本地网络的问题,那么关键就是要把网络管理好,不让外来没有授权的人员适应计算机接入网络窃取信息。众所周知每台连接到网络的计算机都要有一个网络地址——IP地址,没有了IP地址计算机就无法连接网络。所以说我们只需要让没有授权的人员即使将自己的计算机插到网络接口也无法获得IP地址即可。

二、基本方法——禁用DHCP功能:

既然我们要禁止非法外来人员计算机连接到网络接口上获得IP地址,就应该在企业网络中禁止DHCP功能。

(1)服务器上禁用DHCP:

如果公司使用windows 2000或windows 2003建立DHCP服务器,那么我们可以通过停止服务或删除DHCP组件的方法来关闭DHCP功能。如果服务器使用的操作系统是linux同样可以禁止DHCP服务的运行。

(2)路由器上禁用DHCP:

除了服务器上存在DHCP服务外,很多路由器上也可以配置DHCP,我们可以登录路由器管理界面去查看,通过no或undo命令将该DHCP服务关闭。

(3)员工计算机上禁用DHCP:(如下图)

图1

现在网络中有很多DHCP服务建立小工具,所以你的网络可能有出现有人私自搭建DHCP服务器的现象,我们只需要经常通过计算机执行ipconfig /renew命令来查看即可,发现有个人DHCP服务后可以通过查看网关MAC地址来判断是哪台计算机启动了DHCP服务。

(4)假DHCP服务迷惑外来人员:

如果网络内部没有DHCP服务,那么员工建立DHCP服务就成为一件非常容易的事,上面提到的问题3也会频繁发生。实际上我们可以通过一个假的DHCP来解决外来人员进入公司网络的问题。一方面假的DHCP服务器分配一个假的IP地址信息,这样外来人员获得的地址也是假的无效的,依然无法连接到网络中;另一方面假的DHCP服务器随时工作在网络中,如果有其他人私自建立DHCP服务也会因为网络中已经存在了另一个DHCP服务器而建立失败。

 

三、中级方法——多种办法应对非法IP:

虽然上面我们通过禁用DHCP服务或建立一个假的DHCP服务可以阻止非法用户连接网络后自动获得IP地址。但是如果非法用户知道了公司的网络规划,对客户机网络地址比较了解的话,他就可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。不过改动后的IP地址在局域网中运行时可能出现的情况如下。
(本文不涉密)
责任编辑: