局域網(wǎng)安全加固“六法”

隨著信息網(wǎng)在企業(yè)的廣泛應(yīng)用，營(yíng)造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境已成為當(dāng)前企業(yè)網(wǎng)絡(luò)維護(hù)管理中亟待解決的問題。由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性，單位局域網(wǎng)通常存在著容易引起廣播風(fēng)暴、不經(jīng)認(rèn)證隨意接入、IP地址使用混亂、用戶密碼安全強(qiáng)度不夠、系統(tǒng)時(shí)間不一致、漏洞修補(bǔ)不及時(shí)等問題。

為此，我們按照“整體規(guī)劃、重點(diǎn)突破、固強(qiáng)補(bǔ)弱、系統(tǒng)配套”的思路，介紹解決上述問題的六種方法，確保內(nèi)網(wǎng)秩序正規(guī)有序、安全問題快速定位、安全隱患實(shí)時(shí)排查，有效降低網(wǎng)絡(luò)安全事件發(fā)生的概率。

劃分VLAN，隔離廣播風(fēng)暴

當(dāng)局域網(wǎng)用戶數(shù)量超過一定規(guī)?；蚓W(wǎng)絡(luò)連接不當(dāng)時(shí)，易引發(fā)廣播風(fēng)暴，導(dǎo)致整個(gè)局域網(wǎng)網(wǎng)絡(luò)性能下降。在信息網(wǎng)中對(duì)VLAN的特性加以有效利用，通過分析整個(gè)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，按本單位部門類型，基于各交換機(jī)端口劃分樹型層級(jí)VLAN結(jié)構(gòu)，能有效解決內(nèi)網(wǎng)中網(wǎng)絡(luò)沖突和廣播風(fēng)暴等網(wǎng)絡(luò)阻塞問題。

VLAN的劃分方法非常靈活，既可以劃分二層VLAN（VLAN間不能夠互相通信，隔離二層網(wǎng)絡(luò)流量），也可以啟用三層VLAN（VLAN間能夠互相通信，同時(shí)隔離廣播報(bào)文）；既可以根據(jù)交換機(jī)物理端口劃分VLAN，也可以根據(jù)MAC地址、網(wǎng)絡(luò)協(xié)議、IP地址等劃分VLAN。VLAN的劃分策略要根據(jù)局域網(wǎng)用戶數(shù)量和設(shè)備功能區(qū)分等單位實(shí)際情況合理制定。比如，可以根據(jù)不同樓層劃分VLAN，也可以按照單位部門設(shè)置劃分VLAN，還可以按照設(shè)備和系統(tǒng)功能，將服務(wù)器和計(jì)算機(jī)終端劃分到不同的VLAN。

VLAN的劃分只需要在交換機(jī)上完成配置即可，以華為S5700交換機(jī)為例，介紹基于端口劃分二層VLAN的步驟：建立VLAN 10：在全局模式下輸入命令“VLAN 10”；輸入命令“quit”退出vlan；進(jìn)入交換機(jī)端口：在全局模式下輸入“interface port GigabitEthernet 0/0/24”；將端口劃入vlan 10：在接口模式下輸入“port link-type access” “port default vlan10”。

采用802.1X策略，建立訪問控制認(rèn)證

基于802.1X訪問控制和認(rèn)證協(xié)議，通過在交換機(jī)各個(gè)端口配置認(rèn)證策略，利用準(zhǔn)入認(rèn)證平臺(tái)軟件實(shí)現(xiàn)準(zhǔn)入控制功能，有效預(yù)防非法入侵及惡意攻擊事件。內(nèi)置一套基線評(píng)估標(biāo)準(zhǔn)即安全準(zhǔn)入基線，管理員可以根據(jù)需要優(yōu)化基線模板，確保入網(wǎng)終端必須經(jīng)過平臺(tái)“安檢”打分，低于安全基線分?jǐn)?shù)的用戶將無法入網(wǎng)，有效確保接入安全。通過獲取用戶IP地址、MAC地址、CPUID號(hào)、硬盤序列號(hào)等特征信息，完成入網(wǎng)用戶身份信息入庫(kù)，并與交換機(jī)端口認(rèn)證策略交互配合，實(shí)現(xiàn)用戶實(shí)名透明上網(wǎng)。通過采用受保護(hù)的通信方式和本地存儲(chǔ)方式來防止用戶特征信息泄露，避免惡意偽造和仿冒數(shù)據(jù)接入情況發(fā)生。

管理員可實(shí)時(shí)掌握隔離網(wǎng)使用動(dòng)態(tài)情況，認(rèn)證服務(wù)器記錄入網(wǎng)主機(jī)注冊(cè)、上線、下線、認(rèn)證失敗原因以及接收到錯(cuò)誤數(shù)據(jù)包等動(dòng)態(tài)信息，有效解決安全審計(jì)、事后追究、特征取證等問題。在局域網(wǎng)環(huán)境下，可通過開啟交換機(jī)802.1X認(rèn)證功能、終端上啟用802.1X客戶端、架設(shè)802.1X服務(wù)器端等三種方式實(shí)現(xiàn)。

啟用DHCP服務(wù)，管控IP資源

局域網(wǎng)用戶終端若任由用戶自行配置IP地址等網(wǎng)絡(luò)參數(shù)，不僅容易引起IP地址沖突，影響其他終端用戶正常使用，也易造成失泄密隱患。通常采用的在交換機(jī)上綁定IP地址和MAC地址的方法，設(shè)置繁瑣，且終端數(shù)量增加到一定級(jí)別時(shí)，會(huì)影響交換機(jī)性能，日常維護(hù)工作量也非常大。啟用DHCP服務(wù)，一是能由系統(tǒng)自動(dòng)分配用戶終端IP地址等網(wǎng)絡(luò)參數(shù)，避免參數(shù)錯(cuò)誤或沖突；二是可以控制允許加入局域網(wǎng)的主機(jī)范圍，其他非法主機(jī)分配不到IP地址（即使手工配置IP地址也無法入網(wǎng)），可避免隨意接入局域網(wǎng)引起的安全隱患；三是可以實(shí)現(xiàn)IP地址和MAC地址的配對(duì)綁定，精準(zhǔn)分配IP地址資源，避免IP地址使用混亂；四是可以清楚掌握已分配IP地址數(shù)量、未分配IP地址存量，方便控制局域網(wǎng)內(nèi)上網(wǎng)終端數(shù)量。

DHCP配置包括服務(wù)器端配置、交換機(jī)配置和計(jì)算機(jī)終端配置三部分。

以Windows Server 2008 R2為例介紹服務(wù)器配置。在規(guī)劃完要分配的IP地址后，打開“服務(wù)器管理器”控制臺(tái)，在“角色”窗口單擊“添加角色”鏈接，運(yùn)行“添加角色向?qū)А?。?dāng)彈出“選擇服務(wù)器角色”對(duì)話框時(shí)，勾選“DHCP服務(wù)器”復(fù)選框，按照安裝向?qū)瓿砂惭b，具體設(shè)置可參考相關(guān)書籍。為了控制接入網(wǎng)絡(luò)的終端范圍，應(yīng)在DHCP服務(wù)器上設(shè)置保留地址，將允許接入局域網(wǎng)的主機(jī)IP地址設(shè)置為保留地址，并將其IP地址和MAC地址進(jìn)行綁定，同時(shí)把該IP地址添加到DHCP服務(wù)器的地址池中，將其他地址均排除在地址池外。這樣所有允許接入局域網(wǎng)的終端都能夠分配到一個(gè)固定的IP地址，而非法終端將無法通過DHCP獲得IP地址。

再以華為S5700型交換機(jī)為例，簡(jiǎn)要介紹交換機(jī)配置步驟：在全局模式下開啟 DHCP和 DHCP Snooping，輸 入“dhcp enable”、“dhcp snooping enable”；在接口模式下開啟DHCP Snooping，輸 入“dhcp snooping enable”；在接口模式下禁用手動(dòng)設(shè)置IP地址功能，使得只有經(jīng)DHCP服務(wù)器分配的IP地址才能接入網(wǎng)絡(luò)，命 令 為“ip source check user bind enable”；指 定連接DHCP服務(wù)器的端口，其命令為“dhcp snooping trusted interface Gigabit Ethernet”；指定 DHCP服務(wù)器IP地址。

用戶終端方面，以Windows 7操作系統(tǒng)為例，右鍵單擊“網(wǎng)絡(luò)”，點(diǎn)選“屬性”，選擇“本地連接”打開，然后選擇“屬性”，鼠標(biāo)左鍵雙擊“Internet協(xié)議版本4（TCP/IPv4）”，在“常規(guī)”選項(xiàng)卡中選中“自動(dòng)獲取IP地址”選項(xiàng)，點(diǎn)擊“確定”按鈕即完成終端設(shè)置。

搭建活動(dòng)目錄服務(wù)器，集中管理用戶賬號(hào)

部分企業(yè)人員流動(dòng)性大，崗位更換頻繁，很多終端空置一段時(shí)間不用，就找不到用戶密碼了，加之部分終端用戶設(shè)置的密碼較簡(jiǎn)單，易被破解。

為了解決這些問題，建議網(wǎng)管人員搭建活動(dòng)目錄（Active Directory）服務(wù)器，對(duì)局域網(wǎng)中的計(jì)算機(jī)和用戶賬戶進(jìn)行集中管理，通過設(shè)置密碼策略，保證用戶密碼的復(fù)雜性。即便密碼丟失，網(wǎng)管人員也可以在活動(dòng)目錄服務(wù)器上重新設(shè)置用戶密碼，而后授予用戶新密碼繼續(xù)登錄系統(tǒng)。

應(yīng)用活動(dòng)目錄服務(wù)需要配置服務(wù)器端和計(jì)算機(jī)終端兩個(gè)部分。服務(wù)器端的配置方法以Windows Server 2008 R2為例進(jìn)行介紹。

添加域服務(wù)角色。打開“服務(wù)器管理器”，右鍵單擊“角色”，依次點(diǎn)擊“添加角色”、“下一步”，在“選擇服務(wù)器角色選項(xiàng)”時(shí)，選擇“Active Directory域服務(wù)角色”，依照安裝向?qū)瓿山巧砑印?/p>

運(yùn)行“Active Directory域服務(wù)安裝向?qū)А卑惭b域服務(wù)。

在目錄服務(wù)器上添加用戶賬號(hào)，設(shè)置用戶密碼要注意符合用戶密碼策略。最后，為了使域賬戶可以訪問域中的任何資源，需要將計(jì)算機(jī)和相應(yīng)的域賬戶進(jìn)行綁定：打開域中的用戶，選定需要綁定的域賬戶，單擊右鍵選擇“屬性”，彈出賬戶屬性對(duì)話框，選擇“賬戶”選項(xiàng)卡，單擊“登錄到”按鈕，選中“下列計(jì)算機(jī)”選項(xiàng)，并輸入和該賬號(hào)綁定的計(jì)算機(jī)名稱，點(diǎn)擊“確定”，完成用戶賬號(hào)和計(jì)算機(jī)的綁定。

計(jì)算機(jī)終端的設(shè)置方法以Windows 7操作系統(tǒng)為例介紹：右擊“計(jì)算機(jī)”，點(diǎn)擊“屬性”，單擊“更改設(shè)置”，在“計(jì)算機(jī)名”選項(xiàng)卡中選擇“更改”，在“隸屬于”框中選擇“域”，這時(shí)需要輸入服務(wù)器端域名，輸入完成后單擊“確定”按鈕，系統(tǒng)會(huì)提示輸入用戶名和密碼，輸入在活動(dòng)目錄服務(wù)器端創(chuàng)建的用戶名和密碼，重新啟動(dòng)系統(tǒng)后即可使用域用戶名和密碼登錄。

搭建網(wǎng)絡(luò)時(shí)鐘服務(wù)，實(shí)現(xiàn)終端精準(zhǔn)校時(shí)

企業(yè)局域網(wǎng)上承載的很多應(yīng)用系統(tǒng)，對(duì)時(shí)間精度要求很高，如果采用手工設(shè)定計(jì)算機(jī)時(shí)間，容易產(chǎn)生誤差，使得同步失敗。引入網(wǎng)絡(luò)時(shí)鐘服務(wù)（NTP）則可以解決此類問題。網(wǎng)絡(luò)時(shí)鐘服務(wù)的搭建包括NTP服務(wù)器搭建和計(jì)算機(jī)終端配置兩個(gè)部分。

服務(wù)器端的配置方法以Windows Server 2008 R2為例進(jìn)行介紹。

打開開始菜單，點(diǎn)擊“運(yùn)行”，打開Windows注冊(cè)表；找到如下位置“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32TimeConfig”；找 到“AnnounceFlags”雙擊修改值為5并保存；開 啟NTPServer，在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32 TimeTime ProvidersNtpServer”，找 到 Enable并修改其值為1；打開開始菜單輸入CMD在命令行模式下輸入“net stop w32time&& net start w32time”，重啟“win32time”服務(wù)。

需要注意的問題是，在系統(tǒng)服務(wù)中設(shè)置W32Time服務(wù)啟動(dòng)模式為自動(dòng)；確定防火墻允許UDP123端口訪問。

計(jì)算機(jī)終端設(shè)置為：?jiǎn)螕粲?jì)算機(jī)右下角的時(shí)間和日期，點(diǎn)擊“更改時(shí)間和日期設(shè)置”，選擇“Internet時(shí)間”選項(xiàng)卡，點(diǎn)擊“更改”設(shè)置，輸入NTP服務(wù)器IP地址，并勾選“與Internet時(shí)間服務(wù)器同步”選項(xiàng)，點(diǎn)擊“確定”按鈕完成與NTP服務(wù)器的時(shí)間同步。

架設(shè)升級(jí)服務(wù)器，自動(dòng)修補(bǔ)系統(tǒng)漏洞

操作系統(tǒng)漏洞是病毒肆虐的主要原因是非法用戶竊密的渠道，及時(shí)修補(bǔ)漏洞是計(jì)算機(jī)安全防護(hù)的重要手段。但是大部分用戶缺乏這方面的意識(shí)和技能，而且對(duì)于與國(guó)際互聯(lián)網(wǎng)隔離的局域網(wǎng)用戶來說，及時(shí)修補(bǔ)系統(tǒng)漏洞是一件非常繁瑣的事情。在局域網(wǎng)上架設(shè)升級(jí)服務(wù)器，自動(dòng)完成計(jì)算機(jī)系統(tǒng)漏洞補(bǔ)丁分發(fā)，既可以減少終端用戶的工作量，也可以增強(qiáng)局域網(wǎng)的安全性。

下面以部署WSUS為例，介紹更新服務(wù)的開通過程：更新服務(wù)的開通包括安裝配置更新服務(wù)器和設(shè)置終端兩個(gè)部分，更新服務(wù)器需要安裝WSUS服務(wù)器軟件和一些相關(guān)軟件，此類參考資料較多，在此不贅述。安裝完WSUS服務(wù)器軟件后，網(wǎng)管人員需要定期下載補(bǔ)丁包并存放到服務(wù)器指定目錄。

計(jì)算機(jī)終端設(shè)置以Windows 7系統(tǒng)為例介紹：在命令行中輸入“gpedit.msc”，打開本地組策略編輯器，依次展開“計(jì)算機(jī)配置”、“管 理 模 板”、“Windows組件”、“Windows Update”，雙擊“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”，并配置“設(shè)置檢測(cè)更新的Intranet更新服務(wù)”IP地址或域名，“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器”的IP地址或域名。