隨著信息網(wǎng)在企業(yè)的廣泛應(yīng)用，營造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境已成為當(dāng)前企業(yè)網(wǎng)絡(luò)維護管理中亟待解決的問題。由于計算機網(wǎng)絡(luò)的開放性，單位局域網(wǎng)通常存在著容易引起廣播風(fēng)暴、不經(jīng)認(rèn)證隨意接入、IP地址使用混亂、用戶密碼安全強度不夠、系統(tǒng)時間不一致、漏洞修補不及時等問題。

為此，我們按照“整體規(guī)劃、重點突破、固強補弱、系統(tǒng)配套”的思路，介紹解決上述問題的六種方法，確保內(nèi)網(wǎng)秩序正規(guī)有序、安全問題快速定位、安全隱患實時排查，有效降低網(wǎng)絡(luò)安全事件發(fā)生的概率。

劃分VLAN，隔離廣播風(fēng)暴

當(dāng)局域網(wǎng)用戶數(shù)量超過一定規(guī)模或網(wǎng)絡(luò)連接不當(dāng)時，易引發(fā)廣播風(fēng)暴，導(dǎo)致整個局域網(wǎng)網(wǎng)絡(luò)性能下降。在信息網(wǎng)中對VLAN的特性加以有效利用，通過分析整個網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，按本單位部門類型，基于各交換機端口劃分樹型層級VLAN結(jié)構(gòu)，能有效解決內(nèi)網(wǎng)中網(wǎng)絡(luò)沖突和廣播風(fēng)暴等網(wǎng)絡(luò)阻塞問題。

VLAN的劃分方法非常靈活，既可以劃分二層VLAN（VLAN間不能夠互相通信，隔離二層網(wǎng)絡(luò)流量），也可以啟用三層VLAN（VLAN間能夠互相通信，同時隔離廣播報文）；既可以根據(jù)交換機物理端口劃分VLAN，也可以根據(jù)MAC地址、網(wǎng)絡(luò)協(xié)議、IP地址等劃分VLAN。VLAN的劃分策略要根據(jù)局域網(wǎng)用戶數(shù)量和設(shè)備功能區(qū)分等單位實際情況合理制定。比如，可以根據(jù)不同樓層劃分VLAN，也可以按照單位部門設(shè)置劃分VLAN，還可以按照設(shè)備和系統(tǒng)功能，將服務(wù)器和計算機終端劃分到不同的VLAN。

VLAN的劃分只需要在交換機上完成配置即可，以華為S5700交換機為例，介紹基于端口劃分二層VLAN的步驟：建立VLAN 10：在全局模式下輸入命令“VLAN 10”；輸入命令“quit”退出vlan；進入交換機端口：在全局模式下輸入“interface port GigabitEthernet 0/0/24”；將端口劃入vlan 10：在接口模式下輸入“port link-type access” “port default vlan10”。

采用802.1X策略，建立訪問控制認(rèn)證

基于802.1X訪問控制和認(rèn)證協(xié)議，通過在交換機各個端口配置認(rèn)證策略，利用準(zhǔn)入認(rèn)證平臺軟件實現(xiàn)準(zhǔn)入控制功能，有效預(yù)防非法入侵及惡意攻擊事件。內(nèi)置一套基線評估標(biāo)準(zhǔn)即安全準(zhǔn)入基線，管理員可以根據(jù)需要優(yōu)化基線模板，確保入網(wǎng)終端必須經(jīng)過平臺“安檢”打分，低于安全基線分?jǐn)?shù)的用戶將無法入網(wǎng)，有效確保接入安全。通過獲取用戶IP地址、MAC地址、CPUID號、硬盤序列號等特征信息，完成入網(wǎng)用戶身份信息入庫，并與交換機端口認(rèn)證策略交互配合，實現(xiàn)用戶實名透明上網(wǎng)。通過采用受保護的通信方式和本地存儲方式來防止用戶特征信息泄露，避免惡意偽造和仿冒數(shù)據(jù)接入情況發(fā)生。

管理員可實時掌握隔離網(wǎng)使用動態(tài)情況，認(rèn)證服務(wù)器記錄入網(wǎng)主機注冊、上線、下線、認(rèn)證失敗原因以及接收到錯誤數(shù)據(jù)包等動態(tài)信息，有效解決安全審計、事后追究、特征取證等問題。在局域網(wǎng)環(huán)境下，可通過開啟交換機802.1X認(rèn)證功能、終端上啟用802.1X客戶端、架設(shè)802.1X服務(wù)器端等三種方式實現(xiàn)。

啟用DHCP服務(wù)，管控IP資源

局域網(wǎng)用戶終端若任由用戶自行配置IP地址等網(wǎng)絡(luò)參數(shù)，不僅容易引起IP地址沖突，影響其他終端用戶正常使用，也易造成失泄密隱患。通常采用的在交換機上綁定IP地址和MAC地址的方法，設(shè)置繁瑣，且終端數(shù)量增加到一定級別時，會影響交換機性能，日常維護工作量也非常大。啟用DHCP服務(wù)，一是能由系統(tǒng)自動分配用戶終端IP地址等網(wǎng)絡(luò)參數(shù)，避免參數(shù)錯誤或沖突；二是可以控制允許加入局域網(wǎng)的主機范圍，其他非法主機分配不到IP地址（即使手工配置IP地址也無法入網(wǎng)），可避免隨意接入局域網(wǎng)引起的安全隱患；三是可以實現(xiàn)IP地址和MAC地址的配對綁定，精準(zhǔn)分配IP地址資源，避免IP地址使用混亂；四是可以清楚掌握已分配IP地址數(shù)量、未分配IP地址存量，方便控制局域網(wǎng)內(nèi)上網(wǎng)終端數(shù)量。

DHCP配置包括服務(wù)器端配置、交換機配置和計算機終端配置三部分。

以Windows Server 2008 R2為例介紹服務(wù)器配置。在規(guī)劃完要分配的IP地址后，打開“服務(wù)器管理器”控制臺，在“角色”窗口單擊“添加角色”鏈接，運行“添加角色向?qū)А?。?dāng)彈出“選擇服務(wù)器角色”對話框時，勾選“DHCP服務(wù)器”復(fù)選框，按照安裝向?qū)瓿砂惭b，具體設(shè)置可參考相關(guān)書籍。為了控制接入網(wǎng)絡(luò)的終端范圍，應(yīng)在DHCP服務(wù)器上設(shè)置保留地址，將允許接入局域網(wǎng)的主機IP地址設(shè)置為保留地址，并將其IP地址和MAC地址進行綁定，同時把該IP地址添加到DHCP服務(wù)器的地址池中，將其他地址均排除在地址池外。這樣所有允許接入局域網(wǎng)的終端都能夠分配到一個固定的IP地址，而非法終端將無法通過DHCP獲得IP地址。

再以華為S5700型交換機為例，簡要介紹交換機配置步驟：在全局模式下開啟 DHCP和 DHCP Snooping，輸 入“dhcp enable”、“dhcp snooping enable”；在接口模式下開啟DHCP Snooping，輸 入“dhcp snooping enable”；在接口模式下禁用手動設(shè)置IP地址功能，使得只有經(jīng)DHCP服務(wù)器分配的IP地址才能接入網(wǎng)絡(luò)，命 令 為“ip source check user bind enable”；指 定連接DHCP服務(wù)器的端口，其命令為“dhcp snooping trusted interface Gigabit Ethernet”；指定 DHCP服務(wù)器IP地址。

用戶終端方面，以Windows 7操作系統(tǒng)為例，右鍵單擊“網(wǎng)絡(luò)”，點選“屬性”，選擇“本地連接”打開，然后選擇“屬性”，鼠標(biāo)左鍵雙擊“Internet協(xié)議版本4（TCP/IPv4）”，在“常規(guī)”選項卡中選中“自動獲取IP地址”選項，點擊“確定”按鈕即完成終端設(shè)置。

搭建活動目錄服務(wù)器，集中管理用戶賬號

部分企業(yè)人員流動性大，崗位更換頻繁，很多終端空置一段時間不用，就找不到用戶密碼了，加之部分終端用戶設(shè)置的密碼較簡單，易被破解。

為了解決這些問題，建議網(wǎng)管人員搭建活動目錄（Active Directory）服務(wù)器，對局域網(wǎng)中的計算機和用戶賬戶進行集中管理，通過設(shè)置密碼策略，保證用戶密碼的復(fù)雜性。即便密碼丟失，網(wǎng)管人員也可以在活動目錄服務(wù)器上重新設(shè)置用戶密碼，而后授予用戶新密碼繼續(xù)登錄系統(tǒng)。

應(yīng)用活動目錄服務(wù)需要配置服務(wù)器端和計算機終端兩個部分。服務(wù)器端的配置方法以Windows Server 2008 R2為例進行介紹。

添加域服務(wù)角色。打開“服務(wù)器管理器”，右鍵單擊“角色”，依次點擊“添加角色”、“下一步”，在“選擇服務(wù)器角色選項”時，選擇“Active Directory域服務(wù)角色”，依照安裝向?qū)瓿山巧砑印?/p>

運行“Active Directory域服務(wù)安裝向?qū)А卑惭b域服務(wù)。

在目錄服務(wù)器上添加用戶賬號，設(shè)置用戶密碼要注意符合用戶密碼策略。最后，為了使域賬戶可以訪問域中的任何資源，需要將計算機和相應(yīng)的域賬戶進行綁定：打開域中的用戶，選定需要綁定的域賬戶，單擊右鍵選擇“屬性”，彈出賬戶屬性對話框，選擇“賬戶”選項卡，單擊“登錄到”按鈕，選中“下列計算機”選項，并輸入和該賬號綁定的計算機名稱，點擊“確定”，完成用戶賬號和計算機的綁定。

計算機終端的設(shè)置方法以Windows 7操作系統(tǒng)為例介紹：右擊“計算機”，點擊“屬性”，單擊“更改設(shè)置”，在“計算機名”選項卡中選擇“更改”，在“隸屬于”框中選擇“域”，這時需要輸入服務(wù)器端域名，輸入完成后單擊“確定”按鈕，系統(tǒng)會提示輸入用戶名和密碼，輸入在活動目錄服務(wù)器端創(chuàng)建的用戶名和密碼，重新啟動系統(tǒng)后即可使用域用戶名和密碼登錄。

搭建網(wǎng)絡(luò)時鐘服務(wù)，實現(xiàn)終端精準(zhǔn)校時

企業(yè)局域網(wǎng)上承載的很多應(yīng)用系統(tǒng)，對時間精度要求很高，如果采用手工設(shè)定計算機時間，容易產(chǎn)生誤差，使得同步失敗。引入網(wǎng)絡(luò)時鐘服務(wù)（NTP）則可以解決此類問題。網(wǎng)絡(luò)時鐘服務(wù)的搭建包括NTP服務(wù)器搭建和計算機終端配置兩個部分。

服務(wù)器端的配置方法以Windows Server 2008 R2為例進行介紹。

打開開始菜單，點擊“運行”，打開Windows注冊表；找到如下位置“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32TimeConfig”；找 到“AnnounceFlags”雙擊修改值為5并保存；開 啟NTPServer，在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32 TimeTime ProvidersNtpServer”，找 到 Enable并修改其值為1；打開開始菜單輸入CMD在命令行模式下輸入“net stop w32time&& net start w32time”，重啟“win32time”服務(wù)。

需要注意的問題是，在系統(tǒng)服務(wù)中設(shè)置W32Time服務(wù)啟動模式為自動；確定防火墻允許UDP123端口訪問。

計算機終端設(shè)置為：單擊計算機右下角的時間和日期，點擊“更改時間和日期設(shè)置”，選擇“Internet時間”選項卡，點擊“更改”設(shè)置，輸入NTP服務(wù)器IP地址，并勾選“與Internet時間服務(wù)器同步”選項，點擊“確定”按鈕完成與NTP服務(wù)器的時間同步。

架設(shè)升級服務(wù)器，自動修補系統(tǒng)漏洞

操作系統(tǒng)漏洞是病毒肆虐的主要原因是非法用戶竊密的渠道，及時修補漏洞是計算機安全防護的重要手段。但是大部分用戶缺乏這方面的意識和技能，而且對于與國際互聯(lián)網(wǎng)隔離的局域網(wǎng)用戶來說，及時修補系統(tǒng)漏洞是一件非常繁瑣的事情。在局域網(wǎng)上架設(shè)升級服務(wù)器，自動完成計算機系統(tǒng)漏洞補丁分發(fā)，既可以減少終端用戶的工作量，也可以增強局域網(wǎng)的安全性。

下面以部署WSUS為例，介紹更新服務(wù)的開通過程：更新服務(wù)的開通包括安裝配置更新服務(wù)器和設(shè)置終端兩個部分，更新服務(wù)器需要安裝WSUS服務(wù)器軟件和一些相關(guān)軟件，此類參考資料較多，在此不贅述。安裝完WSUS服務(wù)器軟件后，網(wǎng)管人員需要定期下載補丁包并存放到服務(wù)器指定目錄。

計算機終端設(shè)置以Windows 7系統(tǒng)為例介紹：在命令行中輸入“gpedit.msc”，打開本地組策略編輯器，依次展開“計算機配置”、“管 理 模 板”、“Windows組件”、“Windows Update”，雙擊“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”，并配置“設(shè)置檢測更新的Intranet更新服務(wù)”IP地址或域名，“設(shè)置Intranet統(tǒng)計服務(wù)器”的IP地址或域名。