|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 局域網端則是對內接到企業用戶的線路,有些路由器本身有局域網端口,可下接交換機;有的網管則會將路由器先接到骨干交換機,再向下接到一般的交換機。以上這兩種作法均可,后者適合較大吞吐量的應用情況,一般的企業應用,路由器的局域端口是可以因應帶寬轉發的。在硬件配置,這是較為簡單的。
俠諾的技術服務人員的經驗指出,要進行一個好的安全網絡的配置,IP的管理是很重要的。IP就是計算機在互聯網的地址,因此要能有效管理地址,才能預防攻擊或針對有問題的計算器機加以管制。對于網管而言,在IP管理方面要注意的事項,主要為計算機采用固定IP地址、服務器發放固定IP地址、防止未允許的計算機上網及群組管理等四個重要項目,以下分別為之說明:
•計算器采用固定IP地址:
計算器采用固定IP地址,是最嚴密的配置方式。這個作法,必須要求用戶在計算機中,手動鍵入IP地址相關數據。這樣作的好處是每臺機器的IP都必須是事先指定,沒有事先指定的IP,則無法上網,外來的用戶或是計算器不能輕易地通過企業網絡上網。不過對于用戶而言,必須要設定固定IP,到其它場合,又必須重新設定,對于部份常需要移動的用戶,例如業務人員或是高階主管,造成不小的困擾。
•DHCP服務器發放固定IP地址:
DHCP服務器的好處是用戶無需在計算機上作任何設置,對于用戶較方便。但是DHCP的缺點是若不加以管制,隨便一個用戶也能進入企業的網絡,也容易發動對內部的攻擊,造成影響。因此對于企業而言,較好的方式是通過DHCP發放IP地址,但同時限定計算器能取得的IP地址,以便進行管理。Qno俠諾路由器產品的IP/MAC綁定功能,即可以經由網管的配置,認明計算器的MAC地址發放特定的IP,這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP,以取得較高權限問題,錯誤的MAC/IP組合,將會被路由器"封鎖錯誤MAC地址"阻擋,這個功能也可防止ARP攻擊。
•防止未允許的計算機上網:
對于網管而言,未被管制的計算機,往往會引發安全的問題。有些用戶會自行帶入中毒的計算機,甚至其它用戶通過無線網絡進入公司網絡。這樣的情況,可通過防止未允許的計算機上網來解決。Qno俠諾的IP/MAC綁定功能中,提供有"封鎖不在對應列表中的MAC地址"的功能,達到網管未配置的MAC地址,完全無法上網的作用。
圖一: Qno俠諾路由器的IP/MAC綁定功能,網管可將用戶的IP及MAC地址鍵入,這樣可以達到使用DHCP服務時,每次發放固定IP給用戶。另外提供的"封鎖錯誤MAC地址"及"封鎖不在對應列表中MAC地址"則可提供更進階的功能,提供進一層的安全保障。
•群組管理:
除了IP/MAC綁定,可有效管制用戶外,適當采用群組的功能,也能更方便的對用戶加以管理。例如Qno俠諾提供的IP群組功能,就能將不同的IP用戶設為不同群組,例如企業高階主管設為一組、業務部門設為一組、內部行政人員設為一組。不同群組的用戶,適用不同的管制權限或是帶寬管理原則,這樣可以大幅簡化管理工作,也可避免管制時出現漏網之魚的現象。
圖二:IP群組功能,可將不同IP用戶分類為不同群組,并加以命名,經由群組的管理,以達到全面性的管制功能。也可避免因為配置的漏失,而產生安全的漏洞。
【相關文章】
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。
| 
