企业网络稳定运行 IP地址管理是重点

企业网络稳定运行 IP地址管理是重点

作者：korn　来源：赛迪网技术社区

网络中断是为网络事故中最常见的问题之一，而此问题的产生多与IP地址有关。只要有一台个人电脑的地址设置不正确，网络的传输就会受到影响，甚至整个网络都会瘫痪。

我们知道，对于在Internet和Intranet网络上，使用TCP/IP协议时每台主机必须具有独立的IP地址，有了IP地址的主机才能与网络上的其它主机进行通讯。

随着网络应用普及，网络客户急剧膨胀，由于静态IP地址分配，IP地址冲突和IP地址篡改的麻烦相继而来。IP地址篡改，网络能正常运行，但是网络传输质量发生了变化，改变的原因为路由改变了；IP地址冲突也造成了很坏的影响。

四种因素造成IP地址冲突

只要网络上存在冲突的机器，网络客户不能正常工作。因为只要有冲突的网络终端一启动，在客户机上都会频繁出现地址冲突的提示：“如果网络上某项应用的安全策略是基于IP地址进行的，这种非法的IP用户会对应用系统的安全造成了严重威胁。出现问题有时并不能及时发现，只有在相互冲突的网络客户同时都在开机状态时才能显露出问题，所以具有相当的隐蔽性。一般而言，下列几种情况有可能造成IP地址冲突：

1、很多用户对TCP/IP并不了解，不知道“IP地址”、“子网掩码”、“默认网关”等参数如何设置，有时用户不是从管理员处得到的上述参数的信息，或者是用户无意修改了这些信息。

2、管理员或用户根据管理员提供的上述参数进行设置时，由于失误造成参数输错。

3、在客户机维修调试时，维修人员使用临时IP地址应用造成。

4、有人窃用他人的IP地址。

ping等命令可廉价解决问题

如果导入了昂贵的网络管理软件，也许就能够更加轻松地解决问题。但是利用ping等命令，基本上可以解决所有的问题。当发生故障以后，首先使用ping命令。如果使用得当，其作用堪与昂贵的软件相媲美。当出现IP地址冲突时候，我们首先要确定冲突发生的VLAN。

通过IP规划的vlan定义，和冲突的IP地址，找到冲突地址所在的网段。这对成功地找到网卡MAC地址很关键，因为有些网络命令不能跨网段存取。将客户机与网络隔离，让非法的IP地址的微机在网上运行，网管员便可以设法找到它了。应用网络测试命令有ping命令和arp命令。使用ping命令，假设冲突的IP地址为134.39.236.136，在msdos窗口，命令格式如下，其中斜体部分是命令结果。

C:\WIDOWS\〉ping 134.39.236.136

Request timed out

Reply from 134.39.236.136 bytes=32 time〈1ms TTL=128

我们之所以要ping这台机器，是出于两个目的，首先我们要知道我们要找的机器确实在网络上；其次，我们要知道这台机器的网卡的MAC地址，那么我们如何知道它的MAC地址呢？这就需要使用第二个命令arp：arp命令只能在某一个VLAN中使用有效，它是低层协议，并不能跨路由。

C:\WIDOWS\〉arp-a

Interface:......onInerface.....

InternetAddress/PhysicalAddress/Type

134.39.236.136/00-30-88-02-dc-5c /dynamic

以上列表表示出冲突IP地址134.39.236.136处网卡的MAC地址为00-30-88-02-dc-5c。接下来我们通过网络执行官管理软件找到是MAC地址为00-30-88-02-dc-5c的网卡的具体物理位置。

防范冲突比解决冲突更重要

做好预防IP地址冲突，是问题的根本。解决这种问题并不是很难，需要网络管理员做到以下几点：

首先，做好整个局域网终端用户计算机的命名，指定IP地址，根据用户的类别统一命名计算机，并给定IP地址。这样一看机器名，就知道是哪个部门哪台机器，便于管理。比如综合部001号机器，我们就将其命名为”zonghebu001”。同时，统一规划分配IP地址给每台终端机器，并建立IP地址分配登记表。

其次，统计每个终端机器网卡的MAC地址，建立IP地址与MAC地址对应表。在MS-DOS方式下键入命令“WinIPcfg”就可以获得本机IP地址和MAC地址。我们可以将此方法公布一下，然后要求相关用户将本机MAC地址抄录上报到网管中心，再进行登记汇总。也可在设定机器名和IP地址时一并统计好。网络管理员也可以利用Nbtstat命令来远程获得指定机器的MAC地址。在MS-DOS方式下键入命令“Nbtstat -a 远程计算机名”，即可获得指定机器的IP地址和MAC地址。

最后，将IP地址与MAC地址绑定。这要根据局域网接入互联网的方式不同而采用不同的办法。

方法一：交换机控制　　解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制。使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台主机通过该端口访问网络，任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。

方法二：路由器隔离　　采用路由器隔离的办法的主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问。对于非法访问，有几种办法可以制止，如

1.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项；

2.向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；

3.修改路由器的存取控制列表，禁止非法访问。

路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。

使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，如果我们通过加强对MAC地址的管理，同样也会有效地解决这一问题。

总之，在网络用户连网的同时，建立IP地址和MAC地址的信息档案，自始至终地对局域网客户执行严格的管理、登记制度，将每个用户的IP地址、MAC地址、上联端口、物理位置和用户身份等信息记录在网络管理员的数据库中。

试想，在我们上述的案例中，如果知道了非法用户的MAC地址后，我们可以从管理员数据库中进行查寻，如果我们对MAC地址记录全面，我们便可以立即找到具体的使用人的信息，这会节省我们大量宝贵时间，避免大海捞针的烦恼。同时我们对于某些应用应避免使用IP地址来进行权限限制，如果我们从MAC地址上进行限制相对来说要安全的多，这样可以有效地防止有人窃取IP地址的侥幸行为. 管理IP地址是一项长期工作，管理的好坏，直接影响企业网络发展。

企业网络安全(上)——先安内还是先攘外

作者：Juniper/张小琳　来源：赛迪网

几年前，网络上的黑客圈内盛传，许多公司的来源码遭窃，甚至连知名安全软件的来源码都已经可以公然在网络上买到。这听起来不禁让人有点胆颤心惊，其中的缘由，据说是因为当时无线网络开始盛行，许多企业由于尚未对无线网络安全做出有效的管理，便因此遭到了入侵与破坏。

忘了要安内

不管是安装防火墙、入侵检测系统等等，企业的着眼点往往是放在外部的威胁上，企业网内部的安全管理，就常常被忽略了。从上一段的例子可以了解到，随着网络技术的演进，整个网络世界已与以前大大不同，不再只是单纯的有线环境，网络控管也变得较为困难。

此前，企业习惯于攘外再安内的原因是，以往对于企业网络的攻击主要来自于企业外部，所以企业习惯先部署防御外在威胁的安全架构，如防火墙、入侵检测系统等；然而现今的网络攻击模式，如间谍软件等，都是先在企业内部网络进行档案破坏或密码解译等动作，更有甚者是在之后再将企业内部信息打包送出，这种攻击模式已经变成一种新的趋势。因此，企业网络安全要做得透彻，应该要从连上网络的那一刻便开始注意。

企业控管有三大层面，除了管制使用者能否上网之外，接下来要管制使用者的上网行为，让其符合公司的安全规范；最后一个部份则是分层管理，也就是针对使用者取得内部网络使用授权之后的资源管理，像是每个部门都应该受到不同的权限要求与保障。

零时差攻击所造成的惨剧

所谓的零时差攻击(Zero-Day Attack)意指从安全漏洞发生时到自动攻击开始的时间急遽缩短，由于类似浏览器攻击的模式大幅增加，企业网络常因员工不慎上了恶意网站而导致单机被植入后门程序，企业网络系统也常因此受到影响。

我们见到许多恶意软件作者在“空窗期”(辨识出恶意软件并提供修补程序之前)试图感染计算机，此趋势似乎一直延续至今。即便企业已经部署了所有必要的防火墙、入侵检测系统、病毒防护程序等，此类利用 WMF 弱点的零时差攻击就足以让企业 IT 管理者头痛不已。

越来越多的员工现在都使用笔记本电脑在家工作，或是出差时在旅馆或机场内工作。不过一个非常重要的环节却可能被忽略：公司网络内部的接入控制。因此在员工直接联机到企业内部网络时，审慎控制接入流程 (包括员工的身份认证、检查 PC或笔记本电脑的安全状态等) 是非常重要的。不过，Gartner 最近的报告指出，即使最好的企业也只能控制大约 80％ 的网络端点 (员工的笔记本电脑/PC)。

UAC的概念与管理(见下图)



图1－UAC基础构架

所谓UAC (Unified Access Control，统一接入控制) 是产业级的协同研究成果，可以协助保证每一个接入点在进入网络前皆符合网络安全规范，每个使用者要先取得PC及其它装置的接入权限才能进入特定的网络。UAC的解决方案保证端点设备在接入网络前是完全遵循已建立的安全策略，并确保不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络政策，或限制其可接入的资源。

企业网络安全(下)——图便利还是重安全

作者：Juniper/张小琳　来源：赛迪网

UAC的架构基本上是由三个主要的组件所组成，包含了Policy Server (政策服务器，即控制器)、Agent（代理器）以及 Enforcer（执行器）。政策服务器（控制器）的作用是检查从网络接入装置转送来的端点安全凭证，判定并给予其适当的接入权限 (如允许进入、隔离或拒绝进入)；Agent 的功能在于搜集端点的安全信息与设定等信息，并把这些信息传递到网络接入装置 (Enforcer)；Enforcer 则是强制执行的设备，负责阻挡或隔离不符合网络政策的网络行为。

UAC是业界对企业网络更高的安全需求所产生的反应，是一种更为全面性的防护方式，持续监控使用者的联机，而不是单纯假设只要使用者通过网络联机一开始的安全和恶意软件检查，便不会做出其它违反安全规范的行为。基本上，完整而有效的UAC 架构应该要能提供以下几个层面的安全功能：

端点安全状态检查 - 评估联机装置的“安全健康状况”。

零时攻击防御 - 主动预测出潜在威胁，而非只针对已发现的威胁做出反应。

动态执行政策 - 能够实时对网络上的高风险活动立即采取行动。

精确进行隔离与矫正 - 隔离威胁来源并排解疑难。

提供网络情报 - 提供 IT 管理人员进行管理决策所需的信息。

政策决定和政策执行 - 将网络接入对应至企业需求。

有了安全没了方便？

病毒与蠕虫不断的透过网络来影响企业营运，因为它而导致企业必须面对停工、恢复所需费用、无止尽的修补、公共责任、收入损失等等。零时差攻击表明了，系统安全更新 (patch) 远跟不上脆弱的系统被攻击的速度，往往系统在安全管理者提供最新的更新码 (patch、病毒码) 前就已经遭受了攻击。UAC 是应对无所不在的攻击模式所产生的防护架构，只是，防堵了因为图一己之便所衍生出的网络安全问题，却有可能因此降低了企业流程的便利性?

企业在部署 UAC或其它安全防护机制时，一定要在安全维护与使用便利性上取得平衡。根据知名研究机构 Current Analysis调查指出，企业在部署安全防护方案时有四点基本的考虑与需求，第一个要求是部署简单，可以快速完成；第二个考虑是开放标准，也就是希望未来新的解决方案要能支持各端点的安全需求，要能整合各种增值应用，如此才不会被特定安全提供商所牵绊住，各项产品才有机会整合成一个完美的防护机制；第三个考虑则是希望除了内部员工之外，包括合作厂商、访客等在进入企业网络范畴之前都能够受到管控；最后一项则是，希望能够分阶段部署这些安全机制与设备，不管是按照部门或是依照网络层的不同来分段设置，也希望能够整合不同时间所设置的安全设备。

接入控制机制除了要针对内部员工之外，也常需针对外在的访客来作出反应。目前，一些先进的科学园区中许多企业在访客携带笔记本计算机进入公司之前，都会要求其填写一份安全防护问卷表，若是填写的问卷表中显示，访客没有符合该公司的安全防护规定，如未安装某些防毒软件等，常会被要求须在特定区域等候负责人员替访客执行笔记本计算机的扫毒动作，确认安全无虞之后才准在企业内部上网。如此的安全维护动作虽然很确实，但却是非常不方便，除了会增加企业 IT 人员的负担外，也耽误到访客的宝贵时间。

平衡方案与未来趋势

有了安全就没了方便，要方便使否就要忽略安全呢?有企业开始使用无代理的方式来平衡便利接入与安全防护这两个难以取舍的网络安全议题(下图)。许多企业开始以较简易而不用直接安装防护机制的方式来做到安全与便利性的并重；譬如当外来访客上网准备进入内网体系时，类似UAC架构中Enforcer（执行器）的机制，若发现访客电脑尚未安装某些防毒程序或是病毒码未更新等违反企业安全规范的状况，便会自动将其导引至某些特定的网页，让其自动可以更新病毒码，或是干脆让其只能接入特定网页，而无法接入企业网络内的资源，这就是系统的矫正以及隔离功能。



图2—灵活、标准的接入控制

随着可选择的网络连结方式增加，企业网络的发展正逐步摆脱传统的思考模式与过去的约束。现在的企业开始认识到，互联网联机的普遍性所带来的弹性和赋予的能力，必须与完善详尽的安全措施达到一个平衡点，以保持企业的优势不受到负面影响。UAC 技术可说是应对此种趋势适时发展出来的技术，不但可解决目前及正在浮现的远程安全接入的需求，还可能成为接入控制机制的公认标准，完全改写目前有关使用者应该如何接入重要企业信息的想法。只是，对于UAC的架构，业界标准尚未完全确定，TNC 等团体的出现，为开放标准的统一拨开的一道曙光，也让企业网络安全的建构，有了更大的未来性。