一、內網安全部署之爲什麼需要安全部署
分析:爲什麼需要安全部署呢,因爲在很多時候,外網到內網的攻擊是很難實現的,而大部分攻擊往往出現在內網裏面。
1、內網隨意定義地址,容易造成地址衝突。
2、可能無意接入其他設備,比如DHCP服務器,造成內網獲取地址不正常
3、用戶私接交換機、無線路由器等設備,造成網絡環路、或影響網絡性能。
4、外來人員電腦接入容易導致ARP、病毒等攻擊。
5、二層技術的問題,導致網絡震盪。
二、解決技術
1、之前已經部署了DHCP服務器,所以這裏需要實現的是,接入用戶必須通過DHCP獲取到地址,才能訪問內部網絡與外網。【特殊需要靜態IP的,可以用技術進行手動定義,該功能需要部署DHCP Snooping後才能實現】
2、防止其他“未授權”的DHCP服務存在,部署DHCP Snooping技術,這樣保證用戶獲取到的地址都是正確與“合法”的。【這個合法主要是獲取到自己規劃裏面的】。
3、通過DHCP Snooping技術,部署DAI、ip source gued技術,可以有效的防止ARP、病毒等攻擊,同時也必須通過DHCP地址獲取到的用戶,才能訪問公司外網與外網。
4、部署二層隔離技術【端口隔離】,PC之間不能互訪,PC只能訪問服務器與打印機、外網等,這樣有效的防止了,當一個PC如果中毒或者裝了惡意的軟件,不會影響到其他用戶。
5、部署MAC地址認證或者dot1x等技術實現對用戶私接交換機、無線路由器等設備進行控制。
6、部署STP等安全技術,防止惡意的攻擊。