云南龙网

  1. 首页 > 云知道 > >

学习中小企业安全路由器的基本配置方法( 二 )

云知道


二、局域网端
局域网端则是对内接到企业用户的线路,有些路由器本身有局域网端口,可下接交换机;有的网管则会将路由器先接到骨干交换机,再向下接到一般的交换机 。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器的局域端口是可以随着带宽转发的 。因此在硬件配置,这是较为简单的 。
Qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,IP的治理是顶重要的 。IP就是计算机在互联网的地址,因此要能有效治理地址,才能预防攻击或针对有问题的计算机加以管制 。对于网管而言,在IP治理方面要注重的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未答应的计算机上网及群组治理等四个重要项目,以下分别进行说明:
计算机采用固定IP地址:计算机采用固定IP地址,是最严密的配置方式 。这个作法,必须要求用户在计算机中手动键入IP地址相关数据 。这样做的好处是每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网 。不过对于用户而言,必须要设定固定IP,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰 。
DHCP服务器发放固定IP:DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便 。但是DHCP的缺点是若不加以管制,随便一个用户也能进入企业的网络,也轻易发动对内部的攻击,造成影响 。因此对于企业而言,较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行治理 。Qno侠诺路由器的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行治理 。同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击 。
防止未答应的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题 。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络 。这样的情况,可通过防止未答应的计算机上网来解决 。Qno侠诺的IP/MAC绑定功能中,提供“封锁不在对应表列中MAC地址”功能,达到网管未配置的MAC地址完全无法上网的作用 。图一 图一:Qno侠诺路由器的IP/MAC绑定功能,网管可将用户的IP及MAC地址键入,这样可以达到使用DHCP服务时,每次发放固定IP给用户 。另外“封锁错误MAC地址”及“封锁不在对应表列中MAC地址”则可提供更进阶的功能,提供进一层的安全保障 。
群组治理:除了IP/MAC绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以治理 。例如Qno侠诺提供的IP群组功能,就能将不同的IP用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组 。不同群组的用户,适用不同的管制权限或是带宽治理原则,这个功能可以大幅简化治理工作,也可避免管制时出现漏网之鱼的现象 。
图二 图二:IP群组功能,可将不同IP用户分类为不同群组,并加以命名,通过群组的治理,一次达到全面性的管制功能 。也可避免因为配置的漏失,而产生安全的漏洞 。
【学习中小企业安全路由器的基本配置方法】三、内部建置公开服务器

推荐阅读


上一篇:玉米病毒病的防治技术

下一篇:手机突然放歌怎么回事