对于企业中的局域网而言,最难管理的并不是服务器主机,而是千差万别的各个终端。毕竟每位终端用户的操作都会影响其网络的连接状况,甚至波及到整个局域网。所以管理好终端系统是很有必要的。无论是采取DHCP还是指定独立地址的方法,IP冲突和抢占已经成为管理局域网时最棘手的问题。怎样才能更好的管理IP地址呢?
    最简单的办法就是——禁止终端用户修改网络配置!
隐藏网络设置界面
    如果将网络连接等设置对象隐藏起来,用户就无从下手了,此时即可达到维护IP地址的目的。首先在终端上打开注册表(regedit),依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,在右侧键值窗口中新建然后一个名为NoNetHood的双字节值,并将其值设置为1,这样就无法通过桌面的网络邻居进入TCP/IP设置界面了。
    接下来在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network”创建一个名为“NoNetSetup”的双字节值,并将它设置为1;以后终端用户再想打开“网上邻居”或“网络”属性窗口时,将会看到无权访问的提示。
注销组件防止篡改IP
    很多用户为了达到某些特殊的目的会在TCP/IP中修改地址,这对于管理员的管理工作带来了麻烦。基于目前常见的Windows 2000/XP系统,其IP地址修改无非调用了Netcfgx.dll,Netshell.dll和Netman.dll三个文件,只要将这些组件注销即可达到保护IP地址的目的。在运行窗口中分别输入Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll、Regsvr32 /u Netcfgx.dll将三个组件注销。这样在整个系统中将无法修改IP地址了。恢复的时候可以分别使用命令Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll、Regsvr32 Netcfgx.dll进行恢复。建议管理员将其制作成批处理文件,进行统一的执行操作。
   
绑定IP地址
    以上的两种方法针对一般用户比较有效。但如果终端用户自行修改,则又可以自由的修改IP地址了。此时可以通过IP与MAC地址绑定,然后在服务器端控制的方法达到一劳永逸。
    运行CMD,输入arp -s 192.168.1.10 00-20-6F-16-5A-EF,并在服务器端设置MAC规则,这样IP地址和MAC地址就绑定在一起了。以后如果该用户擅自修改IP地址,就会无法连接到网络。
 
 
伟思信安双硬盘网络安全隔离卡
 
 
关于物理隔离
    众所周知,我们正受到日益严重的网络信息安全威胁,尽管我们正在广泛应用多种复杂的软件技术,防火墙、代理服务器、入侵检测系统、通道控制等手段来降低来自Internet的危险。但由于技术的复杂性及局限性,这些手段并不能完全满足一些涉秘机构对数据安全的高度要求。
    对于网络安全问题,政府的立场是:“如果不存在与网络的物理连接,网络安全威胁便受到了限制。”。×××发布的《计算机信息系统国际联网保密管理规定》中第二章第六条内容“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离。”伟思的物理隔离系列产品及解决方案正是根据这些需求,应用先进的网络安全隔离技术实现内外网间的物理隔离,很好地满足了政府、军队、军工、金融、电信、科研、企业等单位在保证内部数据安全的同时又能方便获取外网信息的双重要求。
最优秀的网络安全物理隔离产品
    伟思从上世纪末即开始研制网络安全隔离卡,至今已经超过六年。产品自问世以来一直注重技术更新和质量控制,经过多年的市场考验,以超前的技术、稳定的性能在市场上牢牢占据领先地位,现已广泛应用于政府、金融、科研、电信、军工等单位。据不完全统计,用户数量已超过五千家。
    伟思网络安全隔离卡系列是经×××鉴定并推荐,公安部批准销售的物理隔离产品。它彻底隔离外网对内部涉密网络的攻击,完全符合国家有关政务网络物理隔离的要求,在现有操作环境下易于推广使用。伟思集团专门为客户提供完整的网络安全物理隔离解决方案。
主要控制原理
    伟思网络安全物理隔离卡的主要控制原理是在计算机中安装两块硬盘(内网及外网硬盘),两块硬盘的操作系统分别控制两个网络连接,一块硬盘对应内部网络,即内网;另一块硬盘对应外部网络,即外网。两个网络的网线以及两个硬盘的控制线均接到网络安全物理隔离卡上,通过卡上的专用控制电路来控制硬盘及网络的切换,保证在同一时刻只有一个硬盘及一个网络处于工作状态,而另一个硬盘及另一个网络处于完全物理隔离即非工作状态,这样就最大限度的保证了网络使用的安全性。
 
 
这种方案适合中大型机构的局域网布局,在这里,某个政府机构内的网络分为内部涉密网和公共网,其中公共网通过集中出口连接Internet(视需要也要安装防火墙、入侵检测及防病毒等措施),部分计算机需要能够接入两个网络,但同时又要保证内外网的完全物理隔离。还有一些机构的网络由于内部功能的划分,本身就有几个分离的网络,采用伟思公司的物理隔离方案将更好地把这些网络整合在一起,变为一个全范围公共网加上几个内部安全子网的多网互动的有效网络格局。
07/11/13 资料整理_职场
图例:双网方案