管理員的技術(shù)手段
1. 靜態(tài)ARP表的綁定
對(duì)于靜態(tài)修改IP地址的問(wèn)題,可以采用靜態(tài)路由技術(shù)加以解決,即IP-MAC地址綁定。因?yàn)樵谝粋(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表,這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí),可以指定靜態(tài)的ARP表,路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包,如果不能對(duì)應(yīng),則不進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
該方法可以阻止非法用戶在不修改MAC地址的情況下,冒用IP地址進(jìn)行跨網(wǎng)段的訪問(wèn)。
2. 交換機(jī)端口綁定
借助交換機(jī)的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問(wèn)題?晒芾淼慕粨Q機(jī)中都有端口—MAC地址綁定功能。使用交換機(jī)提供的端口地址過(guò)濾模式,即交換機(jī)的每一個(gè)端口只具有允許合法MAC地址的主機(jī)通過(guò)該端口訪問(wèn)網(wǎng)絡(luò),任何來(lái)自其它MAC地址的主機(jī)的訪問(wèn)將被拒絕。
3.VLAN劃分
嚴(yán)格來(lái)說(shuō),VLAN劃分不屬于技術(shù)手段,而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個(gè)VLAN,設(shè)置路由策略,可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。
4.與應(yīng)用層的身份認(rèn)證相結(jié)合
避免采用針對(duì)IP地址的直接授權(quán)的管理模式,綜合運(yùn)用用戶名、口令、加密、VPN及其他應(yīng)用層的身份認(rèn)證機(jī)制,構(gòu)成多層次的嚴(yán)密的安全體系,可以有效降低IP地址非法使用所帶來(lái)的危害。
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |