局域网安全加固“六法”

随着信息网在企业的广泛应用，营造安全稳定的网络环境已成为当前企业网络维护管理中亟待解决的问题。由于计算机网络的开放性，单位局域网通常存在着容易引起广播风暴、不经认证随意接入、IP地址使用混乱、用户密码安全强度不够、系统时间不一致、漏洞修补不及时等问题。

为此，我们按照“整体规划、重点突破、固强补弱、系统配套”的思路，介绍解决上述问题的六种方法，确保内网秩序正规有序、安全问题快速定位、安全隐患实时排查，有效降低网络安全事件发生的概率。

划分VLAN，隔离广播风暴

当局域网用户数量超过一定规模或网络连接不当时，易引发广播风暴，导致整个局域网网络性能下降。在信息网中对VLAN的特性加以有效利用，通过分析整个网络内部结构，按本单位部门类型，基于各交换机端口划分树型层级VLAN结构，能有效解决内网中网络冲突和广播风暴等网络阻塞问题。

VLAN的划分方法非常灵活，既可以划分二层VLAN（VLAN间不能够互相通信，隔离二层网络流量），也可以启用三层VLAN（VLAN间能够互相通信，同时隔离广播报文）；既可以根据交换机物理端口划分VLAN，也可以根据MAC地址、网络协议、IP地址等划分VLAN。VLAN的划分策略要根据局域网用户数量和设备功能区分等单位实际情况合理制定。比如，可以根据不同楼层划分VLAN，也可以按照单位部门设置划分VLAN，还可以按照设备和系统功能，将服务器和计算机终端划分到不同的VLAN。

VLAN的划分只需要在交换机上完成配置即可，以华为S5700交换机为例，介绍基于端口划分二层VLAN的步骤：建立VLAN 10：在全局模式下输入命令“VLAN 10”；输入命令“quit”退出vlan；进入交换机端口：在全局模式下输入“interface port GigabitEthernet 0/0/24”；将端口划入vlan 10：在接口模式下输入“port link-type access” “port default vlan10”。

采用802.1X策略，建立访问控制认证

基于802.1X访问控制和认证协议，通过在交换机各个端口配置认证策略，利用准入认证平台软件实现准入控制功能，有效预防非法入侵及恶意攻击事件。内置一套基线评估标准即安全准入基线，管理员可以根据需要优化基线模板，确保入网终端必须经过平台“安检”打分，低于安全基线分数的用户将无法入网，有效确保接入安全。通过获取用户IP地址、MAC地址、CPUID号、硬盘序列号等特征信息，完成入网用户身份信息入库，并与交换机端口认证策略交互配合，实现用户实名透明上网。通过采用受保护的通信方式和本地存储方式来防止用户特征信息泄露，避免恶意伪造和仿冒数据接入情况发生。

管理员可实时掌握隔离网使用动态情况，认证服务器记录入网主机注册、上线、下线、认证失败原因以及接收到错误数据包等动态信息，有效解决安全审计、事后追究、特征取证等问题。在局域网环境下，可通过开启交换机802.1X认证功能、终端上启用802.1X客户端、架设802.1X服务器端等三种方式实现。

启用DHCP服务，管控IP资源

局域网用户终端若任由用户自行配置IP地址等网络参数，不仅容易引起IP地址冲突，影响其他终端用户正常使用，也易造成失泄密隐患。通常采用的在交换机上绑定IP地址和MAC地址的方法，设置繁琐，且终端数量增加到一定级别时，会影响交换机性能，日常维护工作量也非常大。启用DHCP服务，一是能由系统自动分配用户终端IP地址等网络参数，避免参数错误或冲突；二是可以控制允许加入局域网的主机范围，其他非法主机分配不到IP地址（即使手工配置IP地址也无法入网），可避免随意接入局域网引起的安全隐患；三是可以实现IP地址和MAC地址的配对绑定，精准分配IP地址资源，避免IP地址使用混乱；四是可以清楚掌握已分配IP地址数量、未分配IP地址存量，方便控制局域网内上网终端数量。

DHCP配置包括服务器端配置、交换机配置和计算机终端配置三部分。

以Windows Server 2008 R2为例介绍服务器配置。在规划完要分配的IP地址后，打开“服务器管理器”控制台，在“角色”窗口单击“添加角色”链接，运行“添加角色向导”。当弹出“选择服务器角色”对话框时，勾选“DHCP服务器”复选框，按照安装向导完成安装，具体设置可参考相关书籍。为了控制接入网络的终端范围，应在DHCP服务器上设置保留地址，将允许接入局域网的主机IP地址设置为保留地址，并将其IP地址和MAC地址进行绑定，同时把该IP地址添加到DHCP服务器的地址池中，将其他地址均排除在地址池外。这样所有允许接入局域网的终端都能够分配到一个固定的IP地址，而非法终端将无法通过DHCP获得IP地址。

再以华为S5700型交换机为例，简要介绍交换机配置步骤：在全局模式下开启 DHCP和 DHCP Snooping，输 入“dhcp enable”、“dhcp snooping enable”；在接口模式下开启DHCP Snooping，输 入“dhcp snooping enable”；在接口模式下禁用手动设置IP地址功能，使得只有经DHCP服务器分配的IP地址才能接入网络，命 令 为“ip source check user bind enable”；指 定连接DHCP服务器的端口，其命令为“dhcp snooping trusted interface Gigabit Ethernet”；指定 DHCP服务器IP地址。

用户终端方面，以Windows 7操作系统为例，右键单击“网络”，点选“属性”，选择“本地连接”打开，然后选择“属性”，鼠标左键双击“Internet协议版本4（TCP/IPv4）”，在“常规”选项卡中选中“自动获取IP地址”选项，点击“确定”按钮即完成终端设置。

搭建活动目录服务器，集中管理用户账号

部分企业人员流动性大，岗位更换频繁，很多终端空置一段时间不用，就找不到用户密码了，加之部分终端用户设置的密码较简单，易被破解。

为了解决这些问题，建议网管人员搭建活动目录（Active Directory）服务器，对局域网中的计算机和用户账户进行集中管理，通过设置密码策略，保证用户密码的复杂性。即便密码丢失，网管人员也可以在活动目录服务器上重新设置用户密码，而后授予用户新密码继续登录系统。

应用活动目录服务需要配置服务器端和计算机终端两个部分。服务器端的配置方法以Windows Server 2008 R2为例进行介绍。

添加域服务角色。打开“服务器管理器”，右键单击“角色”，依次点击“添加角色”、“下一步”，在“选择服务器角色选项”时，选择“Active Directory域服务角色”，依照安装向导完成角色添加。

运行“Active Directory域服务安装向导”安装域服务。

在目录服务器上添加用户账号，设置用户密码要注意符合用户密码策略。最后，为了使域账户可以访问域中的任何资源，需要将计算机和相应的域账户进行绑定：打开域中的用户，选定需要绑定的域账户，单击右键选择“属性”，弹出账户属性对话框，选择“账户”选项卡，单击“登录到”按钮，选中“下列计算机”选项，并输入和该账号绑定的计算机名称，点击“确定”，完成用户账号和计算机的绑定。

计算机终端的设置方法以Windows 7操作系统为例介绍：右击“计算机”，点击“属性”，单击“更改设置”，在“计算机名”选项卡中选择“更改”，在“隶属于”框中选择“域”，这时需要输入服务器端域名，输入完成后单击“确定”按钮，系统会提示输入用户名和密码，输入在活动目录服务器端创建的用户名和密码，重新启动系统后即可使用域用户名和密码登录。

搭建网络时钟服务，实现终端精准校时

企业局域网上承载的很多应用系统，对时间精度要求很高，如果采用手工设定计算机时间，容易产生误差，使得同步失败。引入网络时钟服务（NTP）则可以解决此类问题。网络时钟服务的搭建包括NTP服务器搭建和计算机终端配置两个部分。

服务器端的配置方法以Windows Server 2008 R2为例进行介绍。

打开开始菜单，点击“运行”，打开Windows注册表；找到如下位置“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32TimeConfig”；找 到“AnnounceFlags”双击修改值为5并保存；开 启NTPServer，在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesW32 TimeTime ProvidersNtpServer”，找 到 Enable并修改其值为1；打开开始菜单输入CMD在命令行模式下输入“net stop w32time&& net start w32time”，重启“win32time”服务。

需要注意的问题是，在系统服务中设置W32Time服务启动模式为自动；确定防火墙允许UDP123端口访问。

计算机终端设置为：单击计算机右下角的时间和日期，点击“更改时间和日期设置”，选择“Internet时间”选项卡，点击“更改”设置，输入NTP服务器IP地址，并勾选“与Internet时间服务器同步”选项，点击“确定”按钮完成与NTP服务器的时间同步。

架设升级服务器，自动修补系统漏洞

操作系统漏洞是病毒肆虐的主要原因是非法用户窃密的渠道，及时修补漏洞是计算机安全防护的重要手段。但是大部分用户缺乏这方面的意识和技能，而且对于与国际互联网隔离的局域网用户来说，及时修补系统漏洞是一件非常繁琐的事情。在局域网上架设升级服务器，自动完成计算机系统漏洞补丁分发，既可以减少终端用户的工作量，也可以增强局域网的安全性。

下面以部署WSUS为例，介绍更新服务的开通过程：更新服务的开通包括安装配置更新服务器和设置终端两个部分，更新服务器需要安装WSUS服务器软件和一些相关软件，此类参考资料较多，在此不赘述。安装完WSUS服务器软件后，网管人员需要定期下载补丁包并存放到服务器指定目录。

计算机终端设置以Windows 7系统为例介绍：在命令行中输入“gpedit.msc”，打开本地组策略编辑器，依次展开“计算机配置”、“管 理 模 板”、“Windows组件”、“Windows Update”，双击“指定Intranet Microsoft更新服务位置”，选择“已启用”，并配置“设置检测更新的Intranet更新服务”IP地址或域名，“设置Intranet统计服务器”的IP地址或域名。