對于大中型企業網絡來說,關于局域網內部的治理一直是一個非常復雜和令人頭痛的問題,一個用戶哪怕只是不小心點擊一個惡意網站的鏈接,就會在幾秒鐘之內感染病毒,然后馬上影響到整個局域網的穩定和安全,加上現在惡意網站非常泛濫,病毒傳播手段花樣疊出,
接著很多針對非凡服務器或是網游私服的DDOS攻擊也開始大舉利用企業網絡中的客戶機作為“僵尸”電腦,對指定的服務器ip發送大量的數據包,“僵尸”電腦越多,服務器被消耗的帶寬也越多,利用這個原理耗盡服務器的帶寬,就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網服務器,但是它在攻擊過程中需要向路由器發送大量的數據包,會直接導致路由器僅有的100M LAN口被“堵滿”,因此其他局域網的計算機的請求無法提交到路由器進行處理,結果就產生局域網計算機全部“掉線”的現象。只需要正確調整路由器,方可防范網絡中的惡意攻擊。
一 、關閉DHCP服務
我們知道DHCP稱為動態主機配置協議。DHCP服務答應工作站連接到網絡并且自動獲取一個IP地址。配置DHCP服務可以為每一個網絡客戶提供一個IP地址、子網掩碼、缺省網關、一個WINS服務器的IP地址,以及一個DNS服務器的IP地址。而目前局域網中的路由器卻開啟DHCP服務,又在局域網內設置了靜態的IP地址,與DHCP服務在一個網段中。時間久了,可能經常出現IP地址沖突現象,兩者不能同時使用。因為路由器初始化狀態,DHCP服務是處于開啟狀態的;設置時,假如你的局域網內設置了靜態的地址,不要再啟用DHCP服務。如圖一
二 、設置IP地址過濾
IP地址過濾圖三 、開啟流量統計
開啟流量統計的目的是為了觀察局域網的每一臺計算機通過路由器的數據包,以便分析這臺計算機是否感染了病毒,假如感染了,就能夠及時與局域網中的其它計算機做好隔離。
四 、IP地址和mac 地址綁定
面對日益嚴重的內網攻擊和整網掉線問題,很多路由器開發商也在產品中加入了相關技術,加入IP-MAC綁定功能可以防止局域網的ARP欺騙。首先要使用相關的軟件學習到局域網中mac地址與IP地址所對應的關系,然后再逐步添加。添加完成后,使所用條目生效。(建議在每個客戶端也要做好相應的綁定)如圖三
IP mac 地址綁定圖
后記:網絡在不斷發展的,不要錯誤認為我們有了安全屏障,我們就要放松警惕。其實網絡安全環境也是隨之變化,新的安全形勢對局域網安全提出新的考驗,網絡治理人員也需要及時更新技術,采取適當的應對措施,才能做到防范網絡中的惡意攻擊,以保障網絡的穩定暢通。新聞熱點
疑難解答
