企业内网的安全与管理

I 企企业业内内网网的的安安全全与与管管理理 摘要 一直以来 安全防御理念局限在常规的漏洞扫描 防火墙 安全审计 防病毒 IDS 等方面的防御 重要的安全设施大致集中于机房 网络入口处 在这些设备的严密 监控下 来自网络外部的安全威胁大大减小 在所有的网络安全事件中 有超过 70 的 安全事件是发生在内网上的 并且随着网络的庞大化和复杂化 这一比例仍有增长的趋势 因此内网安全一直是网络安全建设关注的重点 但是由于内网以纯二层交换环境为主 节点 数量多 分布复杂 终端用户安全应用水平参差不齐等原因 一直以来也都是安全建设的难 点 关键字 安全 风险 控制 防御 II 目录 第一章 背景分析 4 1 信息 内部机密文档安全 5 2 用户 用户桌面行为规范 5 3 系统 系统维护 资产管理 6 第二章 需求分析 6 2 1 企业的设计目标 7 2 2构建企业内网总体介绍 7 第三章 网络接入选择 7 第四章 企业的四个子网 8 第五章 企业拓扑结构图 9 6 1 WEB服务器的配置 11 6 2 1DNS服务器安装与配置 12 6 3 FTP服务器安装与配置 13 6 4 安装配置邮件服务器 14 6 5 DHCP服务器安装与配置 14 第七章 防范内部人员 16 参考文献 19 致谢 19 III 第一章 背景分析 内网安全的首要任务 全防御理念往往局限在网关级别 网络边界 防火墙 漏洞扫描 防病毒 IDS 等方面的防御 重要的安全设施大致集中于机房或网络入口处 在这些设 备的严密监控下 来自网络外部的安全 现代计算机及通信技术飞跃发展 企业内部管理的网络化及信息化成为一种必然的发 展趋势 网络技术己经广泛地应用到各个技术领域和整个社会的各个方面 许多企业都已 建成或正在组建自己的企业网络 本设计就企业网络的总体规划进行了可行性的论证 并 可作为将来真正实现企业网建设的一个方案 另外 基于企业网络的开发是将先进技术应用到企业内部 通过简单的浏览界面 方便 地集成了各类已有的服务 极大改变了传统的信息系统的结构设计 开发环境和应用环境 打破了信息共享的障碍 企业内网对于一个企业网络安全面临的风险 并充分评估这些风险可能带来的危险 将是 实施安全建设中必须首要解决的问题 也是制定安全策略的基础和依据 那么 究竟企业在那 些方面存在安全风险 企业内网安全产品又能给企业带来什么样的价值 对此 溢信科技研发 总监黄凯从内网安全涉及到的信息 用户 系统三方面做了解读 1 信息 内部机密文档安全 企业中与业务相关的信息有九成左右都会以电子文档的形式存在 这些内部信息往往涉及 商业机密 甚至是企业的核心关键技术 保密性要求甚高 一旦泄密 极有可能给企业带来巨 大的经济损失 1 1企业内部可能存在专门的文档服务器 用以存储各类文档 如果缺乏有效的管理 任何 内网用户都可以接触到文档 即可随意把企业内部文件甚至机密信息传播出去 造成企业重大 的损失 因此 企业需要对文档进行高强度的加密并设置基于角色的用户权限管理 IP guard 采用高强度的透明加密技术 对机密信息进行安全保护 使文件在用户新建后就自动被加密保 护 加密后的文件即使被非法传输到企业外部也无法解密和应用 另外 还能够根据不同的部 门和级别 设置不同的内部文档访问控制权限 从而建立完整的保密体系 1 2企业内部或许缺乏对移动存储设备进行有效的管控 任何人都可以使用自己的U盘 MP3 移动硬盘等设备复制转移电子文档 文档泄露的隐患大大增加 如果彻底禁止U盘的移动 设备的使用 又会为企业内部正常的文档传输带来不便 因此 企业需要在享受移动存储设备 带来的便捷性的同时最大限度保障信息安全 IP guard能够解决组织内部移动存储设备应用矛 盾 其核心是在总体控制计算机外部设备包括USB 蓝牙 光存储设备使用权限的基础上 分类 规范网内的移动存储设备使用行为并进行加密 辅之以全面的移动存储审计 最终达到移动存 储设备便携性与安全性兼得的目的 1 3企业员工因工作需要经常使用qq 飞信 MSN 电子邮件等基于网络的程序运用 这些 程序都有文件传输功能 如果不对其进行限制 文件被有意或者无意泄露的风险性很大 所以 企业应该对电子邮件 即时通讯工具进行有效的管理和控制 IP guard能够对外发文档的权限 进行管理 限制外发超过指定大小或包含指定关键字的文档 甚至彻底禁止外发文档 保护重 要的文档不会通过即时通讯工具泄露出去 同时完整记录用户的聊天内容 发送的邮件内容 方便管理者了解用户在进行对话时是否有意或无意地泄露公司重要信息 IV 2 用户 用户桌面行为规范 除了企业内部的机密信息 对企业发展起到至关重要作用的就是员工的工作效率 网络的 普及 无疑改善了员工的工作条件 提高了企业的整体效率 但是 企业内部可能存在部分员 工沉迷于网络或者桌面游戏 忽视专职工作 严重影响企业发展 1 2 1部分用户可能存在不规范的桌面行为 比如上班时间炒股 浏览无关新闻 网上游戏 看在线电影 听音乐等 工作效率十分低下 同时还存在BT下载 在线视频 迅雷应用等P2P行 为 导致公司带宽经常被堵 正常的网络业务无法开展 企业必须对上网行为进行适当的管控 和审计 IP guard能够过滤一切与工作无关的应用程序 分时段或全天候阻止游戏 炒股 媒 体播放 即时通讯 BT等程序的运行 同时 还可限制P2P软件的使用 帮助企业合理分配带宽 资源 力保网络平稳 另外 IP guard还提供用户应用程序和网页浏览情况的统计表 让管理 者对用户的桌面行为一清二楚 1 2 2丰富的网站资源除了带来有用的信息 还包含一些色情 反动类型的网站及其应用 员工的不良上网行为可能导致病毒 木马被非法下载进入企业内部 IP guard可过滤黄色 暴 力和恶意传播病毒的网站 保证用户在合规 合法范围内使用网页 既不能访问下载也不能上 传散播任何含色情暴力成分的内容 3 系统 系统维护 资产管理 企业要健康发展 还离不开IT系统的正常运作 由于企业规模的扩大 实力的增强 企业 的办公地点可能分布在不同楼层甚至不同地区 由此造成大量计算机系统分布分散 企业内部 的资产统计工作非常繁琐 计算机系统 是企业内部必不可少的一个重要组成部分 维护系统的正常运转是IT管理员 的日常工作 由于缺少适合的管理工具 企业内部动辄几百上千台计算机系统维护 也使得有 限的IT管理人员对系统的日常维护变得不再灵活 系统漏洞风险不断升高 针对此情况 系统管理员可以通过IP guard控制台实时查看客户端计算机的应用程序 网 络连接 进程 系统信息等基本资料和运行情况 在单一控制台上就可以实现对整个网络内计 算机运行信息的掌握 同时它还可以协助管理员对系统运行情况做分析 在系统发生异样时及 时解决 预防系统故障的发生 另外 系统管理员可以在IP guard控制台直接远程控制和操作 任一计算机 可在控制台对需要帮助的远程计算机进行操作 实现远程桌面访问 双向文件传 输 多数企业内部存在着大量的软 硬资产和非IT资产 如果使用传统的资产维护和管理方法 既繁琐而又耗费时间 人手统计完毕后还得手工录入信息 当资料统计或录入到一半时 系统 新增了资产 工作往往因此而被打断 如此重复多次 IT管理者也难免变得糊涂 繁琐手续就 变得如此简单 因此 企业亟需一种简单的方法统计内部资产 IP guard自动搜索和整合企业 网络内客户端计算机的IT资产信息 并集中记录硬件型号 节省人手统计的时间 同时也可自 动统计软硬件资产的变更 提供一目了然的软硬件资产变更列表 让系统管理员通过控制台的 数据便可对资产变动了如指掌 时刻掌握最新最准确的资产信息 既可减轻系统管理员的工作 负担 又可避免资产的遗失与侵占 V 第二章 需求分析 2 1 企业的设计目标 企业为了与时俱进 满足市场供求 充分利用网络上的信息资源是必然 来满足不断 出现的对环境的要求 企业网最终必须是一个集计算机网络技术 多项信息管理 办公自 动化和信息发布等功能于一体的综合信息平台 并能够有效促进现有的管理体制和管理方 法 来提高企业的办公质量和效率 2 2构建企业内网总体介绍 本着办公自动化和资源共享的原则将企业的 500 台计算机组织成为一个小型的办公局 域网 本方案主要采用星形与树型相结合的混合型拓扑结构对网络进行构建 划分四个子 网 采用交换机将四组计算机连接起来组成内部局域网 并使用拨号上网的方式进行网络 连接 2 3 用户需求 近年来企业设备共享和信息资源的管理越来越重要 因此公司需要一个实时 安全 高速 稳定的信息交换平台 来保证公司那频繁且庞大的信息传输量 从而提高工作效率 达到设备共享 缩小巨大的设备开资 好充分利用有限的资金来提高企业的发展 适应高 速发展的信息化社会 同时借助 Internet 来打破地域的限制 涉取多样的市场需求信息及 选进的科学技术 2 4 功能需求 企业网络涉及四个子系统 生产用电脑 管理用电脑 财务用电脑 劳资系统电脑 系统同时要满足 OA 及业务系统数据流为主的应用 网络的体系结构要能支持以 OA 业 务数据流的应用 系统能够实现资源共享和信息流的无阻塞通畅流转 包括文件传输 WEB 访问 邮件传输 信息查询 以及内部 Intranet Extranet 应用等 同时为将来的 VoIP VOD 视频会议等应用需求做好可升级的准备 因此 所采用的设备必须支持 TCP IP 以及 SPX IPX FTP 协议 支持各路路由协议 同时支持 IP Multicast Qos RSVP 等局域网和广域网多媒体应用技术 提供足够的带宽 从而实现 OA 业务数据流与多媒体应用的实现 所以 网络设备选择要能够满足企业级的应用 同时主干交换机不但能够满足目前的 应用 还要能够对将来系统扩充保持一定的扩容能力 以及适当的灵活性 以便网络扩充 和增加新的功能 VI 第三章 网络接入选择 企业组建网络的目标是以信息技术为手段 把分布在不同地点的现有资源迅速地组合 成为一个没有 或几乎没有 时间和空间约束 靠电子手段联系的统一指挥的经营实体 从而达到企业生存和发展的高效性 稳定性和长期性 在企业中 由于布线在企业中 由于布线系统费用与实现上的限制 对于零散的远程 用户接入 利用 PSTM 市话网络进行远程拨号访问几乎是唯一的经济 简便的选择 远程拨 号访问需要规划远程访问服务器和 Modem 设备 并申请一组中继线 企业内部有 PABX 电话 交换机则最好 由于整个网络中惟一的窄宽设备 这一部分在未来的网络中可能会逐步减 少使用 远程访问服务器 RAS 和 Modem 组的端口数目一一对应 一般按一个端口支持 20 个用户计算来配置 远程访问技术首先解决的问题就是地域的局限 用户不再需要处于企业局域网络平台 覆盖范围之内 通过局域网接入方式来访问企业网络应用服务 此外 远程访问技术解决 的另一个问题是灵活性 不论用户身在何处在家中 亦或在另一个城市出差 均能够利用 远程访问技术接入到企业内部网络平台 由于上述原因 远程访问技术长期以来一直使用 一种最为普通 随处可得的传输媒介 PSTN 公用电话网 利用 Modem 模拟拨号技术来 实现远程连接 利用 PSTN 进行远程接入 用户只要利用一条电话线和普通的 Modem 调制 解调器 对于用户来说 一次性投入很小 当然如果用户想同时获得数据服务和模拟的电 话传真服务 就不得不再申请一个号码 因为在这种通讯方式下 数据和模拟通讯均要求 独占一个信道 而企业需在局域网边缘设置远程访问接入设备并配备一定数量的语音中继 线路供远程访问用户拨入 图图 3 13 1 VII 第四章 企业的四个子网 我按公司各单位的部门划分 公司电脑可分为以下四种四个子网 一是生产用电脑 二是管理用电脑 三是财务用电脑 四是劳资系统电脑 经过分析 我们将企业局域网按 应用类型分为对应的四个子网 生产子网 LAN1 管理子网 LAN2 劳资子网 LAN3 财务 子网 LAN4 这四者连接起来构成了企业的主干网 如下图 图图 4 14 1 企业主干网企业主干网 3IP规划 首先 要考虑选用哪一段专用 IP 地址 小型企业可以选择 192 168 0 0 地址段 大中型企业则可以选择 172 16 0 0 地址段 如果我们根据网络中计算机的数量来决定需采用的 IP 地址 这个方案肯定是行不通的 因为这样做会受到将来网络状况变化的限制 假如不久后企业决定又要购进一批计算机 整个网络就可能因为选取的 IP 地址不合适而导致重新设计 其实网络的划分并不是很复杂 只要考虑到在可预见的将来的网络情况就可以了 同时要注重它的通用性及其稳定性 在这里 因为 N 公司需要划分 4 个子网 子网 1 网络地址 172 16 1 1 24 1 254 可用 255 广播地址 子网 2 网络地址 172 16 2 1 24 1 254 可用 255 广播地址 子网 3 网络地址 172 16 3 1 24 1 254 可用 255 广播地址 子网 4 网络地址 172 16 4 1 24 1 254 可用 255 广播地址 划分了 4 个子网 每个子网 254 台主机 为以后添加主机作好准备 远程数据库上客户端或本地数据库客户端通过 Internet 或局域网与中转服务器建立连 接 中转服务器 IP 地址 互联网域名为固定的 中转服务器保存各客户端的动态 IP 地址 远程数据库要求与本地数据库交换数据 中转服务器在两者之间建立一条暂时的通道 通 过远程数据库与本地数据库通道完成数据交换 VIII 第五章 企业拓扑结构图 图图 5 1 企业网络拓扑结构图企业网络拓扑结构图 IX 第六章 网络服务器的配置与安装 安装需求 根据公司需求选择性的配置一些服务器 WWW 服务器 FTP 服务器 DNS DHCP E MAIL 等 6 1 WEB服务器的配置 万维网 World Wide Web 是 Internet 上集文本 声音 动画 视频等多种媒体信息 于一身的信息服务系统 整个系统由 Web 服务器 浏览器及通信协议等 3 部分组成 www 中的信息资源主要由一篇篇的网页为基本元素构成 所有网页采用超文本标记语 言来编写 HTML 对 Web 页的内容 格式及 Web 页中的超链进行描述 Web 页间采用超级文 本 HyperText 的格式互相链接 在 Windows 2000 中推出了 Internet Information Server 5 0 简称 IIS5 0 提供了 方便的安装和管理 增强的应用环境 基于标准的发布协议 在性能和扩展性方面有了很 大的改进 为客户提供更佳的稳定性和可靠性 IIS 是基于 TCP IP 的 Web 应用系统 使用 IIS 可使运行 Windows 2000 的计算机成为大容量 功能强大的 Web 服务器 IIS 不但可以 通过使用 HTTP 协议传输信息 还可以提供 FTP 和 Gopher 服务 这样 IIS 可以轻松地将 信息发送给整个 Internet 上的用户 IIS5 0 的具体安装步骤如下 一 控制面板 添加或删除程序 点击 添加 删除 Windows 组件 按钮 二 选择 Internet 信息服务 IIS 单击 下一步 开始安装 单击 完成 结 束 选择 开始 程序 管理工具 Internet 服务管理器 打开 Internet 信 息服务 管理窗口 窗口显示计算机上已经安装好的 Internet 服务 而且都已经自动启 动运行 其中 Web 站点有两个 分别是默认 Web 站点及管理 Web 站点 1 使用 IIS 的默认站点 一 将制作好的主页文件 html 文件 复制到 Inetpub wwwroot 目录 二 将主页文件的名称改为 Default htm 现在进行的都是 IIS 默认动作 完成这两 个步骤后 打开本机或客户机浏览器 来浏览站点 测试 Web 服务器是否安装成功 WWW 服务是否运行正常 站点开始运行后 如果要维护系统或更新网站数据 可以暂停或停止站点的运行 完 成上述工作后 再重新启动站点 2 添加新的 Web 站点 步骤一 打开 Internet 信息服务窗口 右键单击要创建新站点的计算机 在弹出 菜单中选择 新建 Web 站点 出现 Web 站点创建向导 单击 下一步 继续 步骤二 然后输入说明文字 单击 下一步 输入新建 Web 站点的 IP 地址和 TCP 端 口地址 如果通过主机头文件将其它站点添加到单一 IP 地址 必须指定主机头文件名称 Web 站点建立好之后 可以通过 Microsoft 管理控制台 进一步来管理及设置 Web 站点 站点管理工作既可以在本地进行 也可以远程管理 X 3 测试过程 首先在客户机的 IE 浏览器中输入 Web 服务器的 IP 地址 如果配置结果正确的话 客户 机将会显示 Web 服务器上所建立的网页 如果不能够访问 则可以用以下命令进行测试 Ping 及 Tracert 用法如下 ping t a n count l size f i TTL v TOS r count s count j host list k host list w timeout destination list tracert d h maximum hops j host list w timeout target name Options d Do not resolve addresses to hostnames h maximum hops Maximum number of hops to search for target j host list Loose source route along host list w timeout Wait timeout milliseconds for each reply Ping 命令用于测试网络的连通性 Tracert 命令用于测试路由的走向 在客户机上 Ping Web 服务器 如果通的话则可以正常访问 如果不通可按以下步骤进 行测试 1 在客户机上 Ping 其它四台计算机 测试是否连通 在实验过程中发现一个问题 Ping DNS 服务器 测试其连通性 如果正常 则可暂时确定问题出在 DNS 服务器与 Web 服务器之 间 2 如果计算机之间通信正常但还不能正确访问 Web 服务器则可用 Tracert Web 服务器 IP 命令查看其路由走向 从而确定问题的所在 6 2 1DNS服务器安装与配置 一 配置 IP 地址 打开 本地连接 属性对话框 双击 Internet 协议 TCP IP 填上 IP 地址 子 网掩码 默认网关和 DNS 服务器地址 2 DNS 服务程序的安装 1 打开 网络和拨号连接 或者打开控制面板 开始 设置 控制面板 添加 删除程序 添加 删除 Windows 组件 网络服务 2 单击 添加网络组件 选中 网络服务 打开 详细信息 网络服务详细信息 3 选中 域名系统 DNS 单击 确定 单击 下一步 4 插入 Windows 2000 Server 光盘 安装 DNS 系统文件 5 安装完后 在 管理工具 下增加了 DNS 菜单项 三 DNS 服务程序的配置 在域 中 有这样几台计算机需要加到 DNS 服务器中 的邮件服务器名为 IP 地址为 192 168 0 41 的 WWW 服务器名为 IP 地址为 192 168 0 31 W 的 FTP 服务器名为 FTP IP 地址也为 192 168 0 31 即和 WWW 服务器同一台 中的主 DNS 服务器名为 IP 地址为 192 168 0 21 XI 因为要建自己的域名服务 将自己的机器作为域名服务器 所以要修改自己机器的名 称为 NS 域名修改为 现在这台服务器名称为 配置步骤 1 创建 区域 1 打开 开始 程序 管理工具 DNS 2 添加 正向搜索区域 右键单击 正向搜索区域 单击 新建区域 新建区域 向导 3 单击 下一步 输入区域名称 4 单击 下一步 创建新文件 文件名采用默认名 为 dns 5 单击 下一步 完成 新建区域向导 2 创建反向搜索区域 反向搜索区域不一定非要创建 但是加上它 可以使用 NSLOOKUP 工具来诊断你的 DNS 服务器故障 1 右键单击 反向搜索区域 单击 新建区域 按 新建区域向导 单击 下一步 下一步 2 填入 IP 地址网络号 192 168 0 3 单击 下一步 创建区域文件 0 168 192 in addr arpa dns 4 单击 下一步 单击 完成 完成 反向搜索区域 的安装 这样你就拥有了两个 区域 正向搜索区域和反向搜索区域 如所示 3 域的属性设置 右键单击 单击 属性 就弹出带有五个页签的属性窗口 第一个页 签是 常规 区域文件名 dns 在 C WINNT SYSTEM32 下 可以先备份 下来 以便发生灾难时的修复 默认情况下 允许动态更新 w 为 否 如果你想让 这台 DNS 服务器为 Windows 2000 的域提供服务的话 会引起问题的 因此将 否 改为 是 同样 右键单击 192 168 0 x Subnet 单击 属性 修改 允许动态更新 为 是 4 创建记录 1 创建主机记录即 A 记录 2 置反向查询记录 6 3 FTP服务器安装与配置 一 FTP 服务器的配置及使用 打开 Internet 信息服务 窗口 右键单击 默认 FTP 站点 选择 属性 选项 出现 2 对话框 有五个选项卡 1 FTP 站点 TCP 端口号默认是 21 设置其他端口号 如 24 在连接栏 根据系统的容量和带宽 限制连接的数量 一个下载窗口就是一个连接 启用日志记录与 WWW 属性类似 单击当前 会话按钮 这里列出了连接到 FTP 服务器的所有用户 它们的 IP 地址和已经连接的次数 2 安全帐号 在 FTP 服务器上 通常有两种用户连接 匿名登录和用户登录 匿名登录在 Internet 下非常普遍 使用的用户名是 anonymous 如果你的 FTP 公开 通过允许匿名登录 否 则用户登录方式 需要用合法的用户名和密码才能登录进去 FTP 站点安全帐号消息 FTP 的客户界面比较单一 但是我们可以设置个性化的界面 当用 户登录进来后 我们发送欢迎消息 当用户退出后 给出退出信息 如果你的服务器已达 XII 到限制的最大连接数目 就会发送一条最大连接数的消息给用户 并立刻断开连接 3 主目录 FTP 站点的内容位置可以来自于本机或共享目录 此处与 WWW 属性页中的设置类似 但权限只有三项 读取 写入和日志访问 4 目录安全性 这个页面中 可以限制访问站点的 IP 地址 比如 拒绝访问的 IP 地址是一个 C 类地 址 210 45 160 0 5 虚拟目录 建立 FTP 虚拟目录 方法同 WWW 虚拟目录创建的方法 6 4 安装配置邮件服务器 邮件服务器的安装其实就是 PO3 SMTP 服务相关组件的安装 本文主要为大家介绍如 何利用 配置您的服务器向导 进行安装邮件服务器 1 执行 开始 管理工具 配置您的服务器向导 菜单操作 打开如下图所 示对话框 2 单击 下一步 按钮 打开如下图所示对话框 这是一个预备步骤 在其中提示了 在进行以下步骤前需要做好的准备工作 3 单击 下一步 按钮 打开如图所示对话框 在其中选择 邮件服务器 POP3 SMTP 选项 4 单击 下一步 按钮 打开如图所示对话框 在其中要求选择邮件服务器中所使用 的用户身份验证方法 一般如果是在域网络中 选择 Active Directory 集成的 这种方 式 这样邮件服务器就会以用户的域帐户进行身份认证 然后在 电子邮件域名 中指定 一个邮件服务器名 本示例为 grfwgz mail 5 单击 下一步 按钮 打开如图 47 所示对话框 这是一个选择总结对话框 在列 表中总结了以上配置选择 6 单击 下一步 按钮后系统开始安装邮件服务器所需的组件 进程如图所示 不过 在此过程中 系统会提示用户指定 Windows Server 2003 系统源程序所在位置 以便复制 所需文件 7 完成文件复制后系统会自动打开如图 49 所示向导完成对话框 直接单击 完成 按钮完成邮件服务器的整个安装过程 完成后执行 开始 管理工具 管理您的 服务器 菜单操作 在打开的如图 50 所示 管理您的服务器 窗口即可见到刚才安装的邮 件服务器了 单击 管理此邮件服务器 即可打开邮件服务器窗口 6 5 DHCP服务器安装与配置 安装DHCP服务 配置 IP 地址 选择一台已经安装好 Windows 2003 的服务器 确认其已安装了 TCP IP 协议 首先设 置服务器自己 TCP IP 协议的配置 这里需要注意的是 DHCP 服务器本身的 IP 地址必须是固 定的 也就是其 IP 地址 子网掩码 默认网关等数据必须是静态分配的 DHCP 服务程序的安装 打开控制面板 开始 设置 控制面板 添加 删除程序 添加 XIII 删除 Windows 组件 网络服务 选中 网络服务 单击 详细信息 按钮 打开 网络服务 对话框 选中 动态主机配置协议 DHCP 复选框 单击 确定 返回 Windows 组件向 导 对话框 单击 下一步 注意 安装 DHCP 系统文件时 需要插入 Windows server 2003 光盘 安装完后 在 管理工具 下增加了 DHCP 菜单项 配置DHCP服务器 打开 DHCP 管理器 选 开始 程序 管理工具 DHCP 默认的 DHCP 窗口已经有 服务器的 FQDN Fully Qualified Domain Name 完全合格域名 比如 如果列表中还没有任何服务器 则需添加 DHCP 服务器 选 DHCP 右键 添加服务 器 选 此服务器 再按 浏览 选择 或直接输入 服务器名 即你的服务器的名字 打开作用域的设置窗口 先选中 FQDN 名字 即 再按 右键 新 建作用域 设置作用域名 此地的 名称 说明 项只是作提示用 可填任意内容 单击 下一步 设置可分配的 IP 地址范围 这里我们分配为 192 168 0 1 192 168 0 50 则在 起始 IP 地址 项填写 192 168 0 1 结束 IP 地址 项填写 192 168 0 50 子网 掩码 项为 255 255 255 0 此项内容自动生成 单击 下一步 如果有必要 可在该对话框的选项中输入欲保留的 IP 地址或 IP 地址范围 这里我 们可以在 起始 IP 地址 项填写 192 168 0 5 然后单击添加 这时 192 168 0 5 即为保留地址 否则直接单击 下一步 这里 租约期限 可设定 DHCP 服务器所分配的 IP 地址的有效期 比如设置一年 即 365 天 默认为 8 天 单击 下一步 如果选 是 我想配置这些选项 接下来的工作就是给工作站配置默认的网关 默 认的 DNS 服务地址 默认的 WINS 服务器 也可以不作任何设置 直接单击下一步 以后再 配置 最后再根据提示选 是 我想激活作用域 单击 完成 即可结束最后设置 DNS 客户端的设置 在安装 Windows 2000 professional 和 Windows server 2003 的客户机上 运行 控 制面板 中的 网络和拨号连接 在打开的窗口中右击 本地连接 选择 属性 在 本地连接属性 对话框中选择 Internet 协议 TCP IP 属性 出现 Internet 协议 TCP IP 属性 对话框 在该对话框内选择 自动获得 IP 地址 选项 DHCP 作用域的修改 停用 激活 删除 右击 作用域 在快捷菜单中 分别选择 属性 停用 激活 删除 子项 实现其功能 在选择 属性 子项后 可对 作用域名 起始 IP 地址 结束 IP 地址 DHCP 客户的租用期 进行修改 使用ipconfig命令测试配置后的 DHCP服务器 在局域网的任一客户机上单击 开始 运行 输入 cmd 命令 进入命令提示符下 输入 ipconfig all 如果测试成功 客户机所获 IP 地址必在 DHCP 服务器所设 IP 地址的区 间内 另外测试时 如果使用了 all 参数 还可以看到 DHCP 服务器的 IP 地址及其它信息 XIV 第七章 防范内部人员 1 网络设备权限管理 在企业网络中 路由器 防火墙等网络设备都与互联网和内网 相连接 为了企业网络的安全 企业网管通常禁止外部的 IP 地址访问路由器及防火墙等网 络设备 并没有限制内部网络地址对路由器及防火墙待网络设备的访问管理 从表面看 网络设备的权限管理非常合理 可是 一旦内网中的计算机感染了网络病毒 可能会向路