試想一下,一臺被感染了網(wǎng)絡(luò)病毒的普通計算機連接到網(wǎng)絡(luò)后,對應(yīng)系統(tǒng)中的網(wǎng)絡(luò)病毒很有可能會通過網(wǎng)絡(luò)傳染給局域網(wǎng)中的其他計算機。這樣相互傳播、感染,整個網(wǎng)絡(luò)勢必就會受到網(wǎng)絡(luò)病毒的嚴重攻擊,此時網(wǎng)絡(luò)的安全性自然也就受到破壞了。
為了保證網(wǎng)絡(luò)安全,必須對網(wǎng)絡(luò)的接入進行適當控制,確保那些可以信任的普通計算機才能接入本地網(wǎng)絡(luò)并訪問互聯(lián)網(wǎng)。
那么,究竟哪些普通計算機是可以信任的呢?在這里,我們可以強制普通計算機自動從DHCP服務(wù)器那里獲得IP地址,在申請IP地址的過程中,要求DHCP服務(wù)器對普通計算機的合法性進行認證。如果計算機能夠順利通過認證,那么DHCP服務(wù)器才能將上網(wǎng)參數(shù)地址,包括IP地址、網(wǎng)關(guān)、DNS服務(wù)器等,分配給這臺計算機,這樣一來可以信任的普通計算機系統(tǒng)就能正常接入到網(wǎng)絡(luò)了。
如果計算機沒有通過DHCP服務(wù)器的驗證,那么對應(yīng)系統(tǒng)就無法從DHCP服務(wù)器那里獲得有效的上網(wǎng)參數(shù),此時這些不值得信任的普通計算機也就不能連接到本地網(wǎng)絡(luò)。這樣一來,本地網(wǎng)絡(luò)的安全性就能得到保證了。
在進行客戶端系統(tǒng)的合法性認證時,可以先在DHCP服務(wù)器中創(chuàng)建合法性規(guī)則,同時為該規(guī)則配置相應(yīng)的上網(wǎng)參數(shù),包括IP地址、網(wǎng)關(guān)、DNS服務(wù)器等,之后為客戶端系統(tǒng)設(shè)計合法性標記。這樣,以后普通計算機向DHCP服務(wù)器申請上網(wǎng)參數(shù)時,DHCP服務(wù)器中的合法性規(guī)則就會對客戶端系統(tǒng)的合法性標記進行檢查驗證:如果發(fā)現(xiàn)客戶端系統(tǒng)沒有合法性標記或標記不能通過合法性規(guī)則驗證時,就不會為它分配有效的上網(wǎng)參數(shù);如果客戶端系統(tǒng)通過合法性規(guī)則驗證,對應(yīng)規(guī)則下面的上網(wǎng)參數(shù)就能自動分配給目標客戶端系統(tǒng)了,這個時候普通計算機就能正常地接入到本地網(wǎng)絡(luò)中。
創(chuàng)建合法性規(guī)則
為了對客戶端系統(tǒng)的上網(wǎng)安全性進行控制,可以在DHCP服務(wù)器中創(chuàng)建合法性規(guī)則,來對普通計算機的合法性進行認證。
可以在DHCP服務(wù)器中創(chuàng)建一個新的DHCP用戶類別,并要求對客戶端系統(tǒng)的用戶類別進行驗證,驗證通過之后才能對客戶端系統(tǒng)的上網(wǎng)請求做出響應(yīng)。
在創(chuàng)建新的DHCP用戶類別時,首先打開DHCP服務(wù)器主機系統(tǒng)的“開始”菜單,從中依次選擇“程序”→“管理工具”→“DHCP”命令,進入DHCP服務(wù)器控制臺界面,選中該界面左側(cè)列表中的目標主機圖標,同時右擊該主機圖標,并選擇右鍵菜單中的“定義用戶類別”命令或“定義提供商類別”命令,彈出新建用戶類別向?qū)Т翱?,如圖1所示。在該向?qū)Т翱诘?ldquo;顯示名稱”位置處,輸入一個DHCP用戶類別名稱,例如,將該用戶類別名稱輸入為“hefa”。
為了方便日后管理,還可以對該用戶類別的作用進行一些描述,例如,在“描述”位置處輸入“控制網(wǎng)絡(luò)接入安全”之類的描述性信息。當然,如果DHCP用戶類別名稱比較少,可以不設(shè)置描述信息。
接下來,還要在ID位置處設(shè)置合法計算機的匹配類ID,例如,當我們在ASCII字符位置處輸入“hefa”信息時,對應(yīng)ID位置處的二進制數(shù)值就是合法計算機的匹配類ID。日后DHCP服務(wù)器會通過這個匹配類ID來驗證普通計算機的合法性。在確認上面的設(shè)置正確無誤后,單擊“確定”按鈕,保存好上述設(shè)置操作。
配置合法上網(wǎng)參數(shù)
如果DHCP服務(wù)器發(fā)現(xiàn)普通計算機系統(tǒng)的匹配類ID符合要求時,就認為該客戶端系統(tǒng)是合法的。此時就應(yīng)該為目標客戶端系統(tǒng)分配合法、有效的上網(wǎng)參數(shù),確保該計算機可以順利地接入到本地網(wǎng)絡(luò)中。
為此,在我們創(chuàng)建好“hefa”用戶類別名稱時,還應(yīng)該為該用戶類別配置合法的上網(wǎng)參數(shù),確保那些通過用戶類別驗證的普通計算機可以從DHCP服務(wù)器那里申請到有效的上網(wǎng)參數(shù)。
下面就是具體的配置步驟:
首先,切換進入DHCP服務(wù)器的控制界面,展開該界面左側(cè)子窗格中的目標主機選項,右擊“作用域選項”,選擇右鍵菜單中的“配置選項”命令,繼續(xù)選擇彈出界面中的“高級”選項卡,打開高級選項設(shè)置頁面。
在這里可以為合法計算機分配IP地址、默認網(wǎng)關(guān)、DNS服務(wù)器等上網(wǎng)參數(shù),同時可以設(shè)置IP地址的租約期限等參數(shù)。例如,要為“hefa”用戶類別配置上網(wǎng)參數(shù)時,可以先單擊“用戶類別”位置處的下拉按鈕,并從下拉列表中將先前創(chuàng)建好的“hefa”用戶類別選中,之后從可用選項列表中選中“003路由器”,并在對應(yīng)選項下面的設(shè)置區(qū)域輸入合適的默認網(wǎng)關(guān)地址,然后單擊“添加”按鈕,即可完成默認網(wǎng)關(guān)的分配操作。
之后選中“006DNS服務(wù)器”選項,在對應(yīng)該選項下面的設(shè)置區(qū)域,輸入本地網(wǎng)絡(luò)上網(wǎng)訪問時用到的ISP提供的DNS服務(wù)器地址,再單擊“添加”按鈕,完成DNS服務(wù)器的分配操作。同樣地,還可以選中“051租約”選項,來設(shè)置動態(tài)IP地址的有效租約期限。
如果想為普通計算機修改動態(tài)IP地址,必須展開目標作用域下面的“地址池”選項,并在對應(yīng)選項的設(shè)置頁面中修改上網(wǎng)IP地址,修改完畢后單擊“確定”按鈕保存好設(shè)置操作。
設(shè)置合法性標記
為了保證那些值得信任的普通計算機系統(tǒng)可以順利地通過DHCP服務(wù)器的合法性驗證,應(yīng)該事先為那些安全的客戶端系統(tǒng)設(shè)置合法性標記,確保該系統(tǒng)的DHCP類ID名稱符合合法性驗證要求。
在為普通計算機設(shè)置合法性標記時,可以依次選擇“開始”→“運行”命令,打開客戶端系統(tǒng)的運行文本框,在其中執(zhí)行“CMD”字符串命令,進入對應(yīng)系統(tǒng)的MS-DOS工作窗口。
接下來,在MS-DOS工作窗口的命令行提示符下,執(zhí)行“ipconfig/setclassid Local Connectionhefa”字符串命令,這樣就可以成功地將客戶端系統(tǒng)本地連接的DHCP類ID名稱設(shè)置為“hefa”標記了。
控制網(wǎng)絡(luò)接入安全
為了讓普通計算機接受DHCP服務(wù)器的合法性控制,必須強制要求客戶端系統(tǒng)在上網(wǎng)訪問時,主動連接DHCP服務(wù)器。這樣一來,DHCP服務(wù)器就能自動對上網(wǎng)計算機的合法性進行驗證了。
要做到這一點,其實很簡單,我們可以設(shè)置普通客戶端系統(tǒng)的上網(wǎng)參數(shù),讓其自動獲得IP地址。
在設(shè)置自動獲得IP操作時,先打開客戶端系統(tǒng)的“開始”菜單,從中逐一選擇“設(shè)置”→“網(wǎng)絡(luò)連接”選項,用鼠標右鍵單擊網(wǎng)絡(luò)連接列表界面中的本地連接圖標,再執(zhí)行右鍵菜單中的“屬性”命令,彈出本地連接屬性設(shè)置對話框。
選擇該對話框中的“常規(guī)”選項卡,選擇該選項設(shè)置頁面中的TCP/IP協(xié)議選項,同時單擊“屬性”按鈕,打開對應(yīng)的選項設(shè)置對話框,選中這里的“自動獲得IP地址”、“自動獲得DNS服務(wù)器地址”等選項,再單擊“確定”按鈕,執(zhí)行設(shè)置保存操作。
以后,當包含有“hefa”標記的普通計算機嘗試連接DHCP服務(wù)器時,DHCP服務(wù)器的合法性規(guī)則就會認為該計算機是可以信任的,就會將對應(yīng)規(guī)則下面的上網(wǎng)參數(shù)分配給該計算機了。
有了上網(wǎng)參數(shù),該計算機系統(tǒng)就能正常接入到本地局域網(wǎng)中了;而那些不安全的普通計算機則因為無法得到上網(wǎng)參數(shù)而不能進行網(wǎng)絡(luò)連接,網(wǎng)絡(luò)安全因此得到一定的保障。