公司內(nèi)部有很多資源都是珍貴的，也涉及企業(yè)隱私。網(wǎng)絡(luò)管理員不僅僅要維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，還需要保證這些資源不被非法用戶竊取。一般來說每個(gè)員工計(jì)算機(jī)都有足夠強(qiáng)大的用戶名密碼來防范非法用戶入侵，不過企業(yè)內(nèi)部一些網(wǎng)絡(luò)資源卻是對外公開的，很多服務(wù)器都可開啟了匿名登錄服務(wù)。因此要保證資源的足夠安全就需要網(wǎng)絡(luò)管理員采取有效的方法來管理甚至是阻止外來人員進(jìn)入公司網(wǎng)絡(luò)。

一，管理原則：

既然我們要處理的是有效管理外來人員進(jìn)入公司本地網(wǎng)絡(luò)的問題，那么關(guān)鍵就是要把網(wǎng)絡(luò)管理好，不讓外來沒有授權(quán)的人員適應(yīng)計(jì)算機(jī)接入網(wǎng)絡(luò)竊取信息。眾所周知每臺連接到網(wǎng)絡(luò)的計(jì)算機(jī)都要有一個(gè)網(wǎng)絡(luò)地址——IP地址，沒有了IP地址計(jì)算機(jī)就無法連接網(wǎng)絡(luò)。所以說我們只需要讓沒有授權(quán)的人員即使將自己的計(jì)算機(jī)插到網(wǎng)絡(luò)接口也無法獲得IP地址即可。

二，基本方法——禁用DHCP功能：

既然我們要禁止非法外來人員計(jì)算機(jī)連接到網(wǎng)絡(luò)接口上獲得IP地址，就應(yīng)該在企業(yè)網(wǎng)絡(luò)中禁止DHCP功能。

（1）服務(wù)器上禁用DHCP：

如果公司使用windows 2000或windows 2003建立DHCP服務(wù)器，那么我們可以通過停止服務(wù)或刪除DHCP組件的方法來關(guān)閉DHCP功能。如果服務(wù)器使用的操作系統(tǒng)是linux同樣可以禁止DHCP服務(wù)的運(yùn)行。

（2）路由器上禁用DHCP：

除了服務(wù)器上存在DHCP服務(wù)外，很多路由器上也可以配置DHCP，我們可以登錄路由器管理界面去查看，通過no或undo命令將該DHCP服務(wù)關(guān)閉。

（3）員工計(jì)算機(jī)上禁用DHCP：

現(xiàn)在網(wǎng)絡(luò)中有很多DHCP服務(wù)建立小工具，所以你的網(wǎng)絡(luò)可能有出現(xiàn)有人私自搭建DHCP服務(wù)器的現(xiàn)象，我們只需要經(jīng)常通過計(jì)算機(jī)執(zhí)行ipconfig /renew命令來查看即可，發(fā)現(xiàn)有個(gè)人DHCP服務(wù)后可以通過查看網(wǎng)關(guān)MAC地址來判斷是哪臺計(jì)算機(jī)啟動(dòng)了DHCP服務(wù)。

（4）假DHCP服務(wù)迷惑外來人員：

如果網(wǎng)絡(luò)內(nèi)部沒有DHCP服務(wù)，那么員工建立DHCP服務(wù)就成為一件非常容易的事，上面提到的問題3也會(huì)頻繁發(fā)生。實(shí)際上我們可以通過一個(gè)假的DHCP來解決外來人員進(jìn)入公司網(wǎng)絡(luò)的問題。一方面假的DHCP服務(wù)器分配一個(gè)假的IP地址信息，這樣外來人員獲得的地址也是假的無效的，依然無法連接到網(wǎng)絡(luò)中；另一方面假的DHCP服務(wù)器隨時(shí)工作在網(wǎng)絡(luò)中，如果有其他人私自建立DHCP服務(wù)也會(huì)因?yàn)榫W(wǎng)絡(luò)中已經(jīng)存在了另一個(gè)DHCP服務(wù)器而建立失敗。

三，中級方法——多種辦法應(yīng)對非法IP：

雖然上面我們通過禁用DHCP服務(wù)或建立一個(gè)假的DHCP服務(wù)可以阻止非法用戶連接網(wǎng)絡(luò)后自動(dòng)獲得IP地址。但是如果非法用戶知道了公司的網(wǎng)絡(luò)規(guī)劃，對客戶機(jī)網(wǎng)絡(luò)地址比較了解的話，他就可以自由修改IP地址的設(shè)置，從而產(chǎn)生了IP地址非法使用的問題。不過改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)的情況如下。?

（1）非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)。

（2）重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)。

（3）冒用合法用戶的IP地址當(dāng)合法用戶不在線時(shí)，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害。

對于第一種情況非法IP也不能上網(wǎng)，所以我們不用理會(huì)。但是第二種和第三種情況則嚴(yán)重的影響了公司內(nèi)部其他員工正常上網(wǎng)，并且公司內(nèi)部數(shù)據(jù)也存在丟失的可能。我們這些網(wǎng)絡(luò)管理員可以通過以下幾個(gè)辦法來對付非法用戶自行修改IP地址。

（1）靜態(tài)ARP表的綁定：

對于靜態(tài)修改IP地址的問題，可以采用靜態(tài)路由技術(shù)加以解決，即IP-MAC地址綁定。因?yàn)樵谝粋€(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動(dòng)態(tài)對應(yīng)表，這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí)，可以指定靜態(tài)的ARP表，路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包，如果不能對應(yīng)，則不進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。 該方法可以阻止非法用戶在不修改MAC地址的情況下，冒用IP地址進(jìn)行跨網(wǎng)段的訪問。

（2）交換機(jī)端口綁定：

借助交換機(jī)端口的MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。可管理的交換機(jī)中都有端口MAC地址綁定功能。使用交換機(jī)提供的端口地址過濾模式，即交換機(jī)的每一個(gè)端口只具有允許合法MAC地址的主機(jī)通過該端口訪問網(wǎng)絡(luò)，任何來自其它MAC地址的主機(jī)的訪問將被拒絕。

（3）VLAN劃分：

嚴(yán)格來說，VLAN劃分不屬于技術(shù)手段，而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個(gè)VLAN，設(shè)置路由策略，可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。

（4）與應(yīng)用層的身份認(rèn)證相結(jié)合：

避免采用針對IP地址的直接授權(quán)的管理模式，綜合運(yùn)用用戶名、口令、加密、VPN及其他應(yīng)用層的身份認(rèn)證機(jī)制，構(gòu)成多層次的嚴(yán)密的安全體系，或者啟用一些諸如RADIUS AAA以及802.1x等具有認(rèn)證的功能，這些都可以有效降低IP地址非法使用所帶來的危害。

四，高級方法——DHCP SNOOPING：

實(shí)際情況中上面出現(xiàn)問題都是因?yàn)榉欠ㄓ脩糇约盒薷淖约旱腎P地址以及MAC地址造成的，那么我們有沒有一種辦法能夠限定普通用戶必須使用自動(dòng)獲得IP地址的方法來上網(wǎng)呢？如果可以限制的話，那么非法用戶即使修改自己的IP地址與MAC地址為合法信息也無法正常上網(wǎng)。一般來說我們可以在路由交換設(shè)備上啟用DHCP SNOOPING功能。不過這個(gè)功能并不是所有設(shè)備都有的，使用前請仔細(xì)查詢說明書。

DHCP SNOOPING使用的方法是采用DHCP方式為用戶分配IP，然后限定這些用戶只能使用動(dòng)態(tài)IP的方式，如果改成靜態(tài)IP的方式則不能連接上網(wǎng)絡(luò)。

五，總結(jié)：

外來人員非法進(jìn)入公司網(wǎng)絡(luò)的途徑有很多很多種，網(wǎng)絡(luò)管理員除有法律手段和技術(shù)手段，還擁有各種內(nèi)部管理手段，同時(shí)還有一些技術(shù)手段，如部署一套網(wǎng)管系統(tǒng)，比如國內(nèi)較為知名的網(wǎng)管軟件：聚生網(wǎng)管，具有一項(xiàng)“自動(dòng)發(fā)現(xiàn)新加入主機(jī)，并自動(dòng)實(shí)施某個(gè)策略的功能”，這樣你可以建立一個(gè)禁止上網(wǎng)（或者強(qiáng)制斷網(wǎng)）的功能，這樣軟件只要一掃描到電腦，就自動(dòng)將禁止上網(wǎng)或者強(qiáng)制斷網(wǎng)的功能應(yīng)用到這個(gè)主機(jī)上，這樣他就自動(dòng)不能上網(wǎng)了，與其他手段相比，這樣的控制方法是自動(dòng)的，大大減輕網(wǎng)管人員的工作，更為方便。因此，只有綜合運(yùn)用管理手段和技術(shù)手段來處理此問題才能實(shí)現(xiàn)高可靠性的系統(tǒng)運(yùn)行與低成本的管理維護(hù)的統(tǒng)一。