网络通信 频道

实战:局域网安全保密经验谈

  三,硬件方面安全保密措施:

  在硬件方面的保密措施要多得多,我们完全可以从硬件设置入手,这样既可以有效的提高企业内网安全和保密级别,还不会带来员工针对侵犯隐私的抱怨。笔者使用过的手段主要有以下几种。

  (1)MAC地址与IP绑定:

  在网关上(可以是服务器也可以是路由交换设备)把MAC地址与IP绑定,这样就可以最大限度的禁止非法用户和网络设备的接入,保证了员工专机专用。我们这里所说的MAC地址与IP地址绑定实现的方法很多,可以在DHCP服务器上做硬绑定,也可以直接在路由交换设备的端口上添加IP与端口的绑定,总之绑定可以最大限度的减少非法计算机和网络设备的连接。

  (2)划分VLAN虚拟局域网:

  根据端口或MAC地址划分VLAN,各部门VLAN不能互访或者每一个交换机端口为一个VLAN。各个部门划分到不同VLAN后就不会互相访问了,同时我们可以根据不同VLAN划分不同的资源访问权限,让网络管理更加灵活。

  (3)配置监控镜像:(如图4)

  在核心交换机上做端口镜像,然后利用sniffer类软件或专门的流量分析硬件设备对数据进行监控,对监控的数据要妥善保管,在出现问题或定期进行分析。在做监控时记得把端口镜像目标设置为上连端口或者企业网络出口,这样监控的数据才最为全面。

  (4)购买额外硬件设备:

  当然要想最大限度的追求企业内网安全保密级别,我们还需要购买专门的安全设备,例如防火墙和ips等,通过他们可以更灵活更轻松的实现监控和管理,让数据通讯更加安全。

  (5)RADIUS服务配合让身份验证更有效:

  如果企业对网络接入或资源访问等方面要求比较高的话,我们还可以通过802.1x协议进行身份验证,这需要在企业内部建立一个RADIUS服务器,两者配合使用完成身份验证的功能。

0
相关文章