引言： DHCP服務(wù)器主要作用就是為上網(wǎng)計(jì)算機(jī)，動(dòng)態(tài)分配IP地址、默認(rèn)網(wǎng)關(guān)、DNS等參數(shù)，提高它們網(wǎng)絡(luò)連接效率的。在DHCP服務(wù)器對(duì)外服務(wù)的過程中，加入安全控制設(shè)置，不但能夠獲得較高的網(wǎng)絡(luò)接入效率，而且能夠獲得良好的安全保障效果，讓局域網(wǎng)上網(wǎng)安全又高效。

大家知道，DHCP服務(wù)器主要作用就是為上網(wǎng)計(jì)算機(jī)，動(dòng)態(tài)分配IP地址、默認(rèn)網(wǎng)關(guān)、DNS等參數(shù)，提高它們網(wǎng)絡(luò)連接效率的。如果我們能夠拓寬思路，在DHCP服務(wù)器對(duì)外服務(wù)的過程中，靈活加入一些安全控制設(shè)置，不但能夠獲得較高的網(wǎng)絡(luò)接入效率，而且能夠獲得良好的安全保障效果，讓局域網(wǎng)上網(wǎng)安全又高效。現(xiàn)在，本文就在DHCP服務(wù)器中動(dòng)一些手腳（假設(shè)該服務(wù)器部署于Windows Server 2003系統(tǒng)中），讓局域網(wǎng)上網(wǎng)安全更有保障！

保護(hù)重要主機(jī)安全

圖1新建保留設(shè)置框

首先以超級(jí)用戶身份登錄進(jìn)入DHCP服務(wù)器所在主機(jī)系統(tǒng)，逐一點(diǎn)選“開始”、“設(shè)置”、“控制面板”命令，進(jìn)入系統(tǒng)控制面板窗口，依次雙擊“管理工具”、“DHCP”圖標(biāo)，彈出DHCP服務(wù)器參數(shù)配置控制臺(tái)。用鼠標(biāo)右鍵單擊特定DHCP服務(wù)器選項(xiàng)，點(diǎn)選右鍵菜單中的“屬性”命令，展開指定DHCP服務(wù)器屬性設(shè)置對(duì)話框。

其次檢查重要主機(jī)使用的IP地址，是否位于DHCP服務(wù)器的動(dòng)態(tài)地址池中，如果不在其中，那就沒有必要建立保留地址。如果看到這個(gè)IP地址處于動(dòng)態(tài)地址池中時(shí)，可以選中重要主機(jī)所在的DHCP服務(wù)器特定作用域，打開它的右鍵菜單，單擊“保留”命令，從彈出的右鍵菜單中執(zhí)行“新建保留”命令，切換到如圖1所示的新建保留設(shè)置框。

最后在該設(shè)置對(duì)話框中，輸入好保留名稱、保留地址以及重要主機(jī)的網(wǎng)卡物理地址，按下“添加”按鈕，完成重要主機(jī)保留IP地址的創(chuàng)建操作。這樣，重要主機(jī)日后就不需要參與IP地址的動(dòng)態(tài)分配了，而新建的保留IP地址為重要主機(jī)單獨(dú)使用，以后該主機(jī)就不會(huì)出現(xiàn)類似IP地址被突然搶用的安全威脅了。

值得注意的是，在創(chuàng)建保留IP地址時(shí)，將欲保留的某個(gè)目標(biāo)IP地址，和需要固定IP地址的重要主機(jī)網(wǎng)卡Mac地址捆綁在一起即可。重要主機(jī)的網(wǎng)卡MAC地址獲取，可以在對(duì)應(yīng)主機(jī)系統(tǒng)的MS-DOS窗口中，通過使用“ipconfig /all”命令來查詢。

保護(hù)網(wǎng)絡(luò)運(yùn)行安全

在一些組網(wǎng)規(guī)模較小的工作環(huán)境中，網(wǎng)絡(luò)管理員常常會(huì)為終端計(jì)算機(jī)分配一段連續(xù)的靜態(tài)IP地址，同時(shí)在上聯(lián)防火墻或路由器上采用NAT技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)訪問目的。但就是這樣規(guī)模的網(wǎng)絡(luò)，運(yùn)行特別不穩(wěn)定，IP地址搶用現(xiàn)象頻繁發(fā)生，這主要就是終端用戶在重裝系統(tǒng)后，忘記以前使用的IP地址，于是隨意設(shè)置一個(gè)，或者將私人筆記本電腦帶到單位后，隨意為其分配一個(gè)IP地址，結(jié)果自然容易引起IP地址搶用現(xiàn)象。發(fā)生這種現(xiàn)象時(shí)，一般很難快速找到搶用者，一是網(wǎng)絡(luò)環(huán)境較差，網(wǎng)管員不方便通過專業(yè)監(jiān)控工具尋找被搶用IP地址，二是終端用戶自己不是很配合。為了保護(hù)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，我們可以通過對(duì)DHCP服務(wù)器進(jìn)行針對(duì)性設(shè)置，讓終端用戶搶用地址現(xiàn)象有效避免。

圖2 選項(xiàng)設(shè)置頁(yè)面

首先為局域網(wǎng)分配特定范圍的IP地址。例如，如果為單位局域網(wǎng)分配的IP地址段為10.168.1.22-10.168.1.58，為DHCP服務(wù)器分配的IP地址為10.168.1.26，掩碼地址為255.255.255.0，網(wǎng)關(guān)地址為10.168.1.22。那只要在DHCP服務(wù)器所在主機(jī)系統(tǒng)，依次單擊“開始”、“設(shè)置”、“控制面板”命令，進(jìn)入系統(tǒng)控制面板窗口，逐一雙擊“管理工具”、“DHCP”圖標(biāo)，彈出DHCP服務(wù)器參數(shù)配置控制臺(tái)。用鼠標(biāo)右鍵單擊特定DHCP服務(wù)器選項(xiàng)，點(diǎn)選右鍵菜單中的“新建作用域”命令，展開創(chuàng)建作用域?qū)υ捒颍c(diǎn)選“常規(guī)”選項(xiàng)卡，切換到如圖2所示的選項(xiàng)設(shè)置頁(yè)面，在該頁(yè)面起始IP地址文本框中輸入“10.168.1.22”，在結(jié)束IP地址文本框中輸入“10.168.1.58”。

接著將租約期限、添加排除這兩個(gè)參數(shù)都設(shè)置為默認(rèn)值，當(dāng)向?qū)?duì)話框提示是否“配置DHCP選項(xiàng)”時(shí)，選中“否，我想稍后配置這些選項(xiàng)”，確認(rèn)后返回DHCP服務(wù)控制臺(tái)界面。右擊剛剛創(chuàng)建的作用域選項(xiàng)，單擊右鍵菜單中的“配置選項(xiàng)”命令，進(jìn)入配置選項(xiàng)對(duì)話框，點(diǎn)選“高級(jí)”選項(xiàng)卡，打開高級(jí)選項(xiàng)設(shè)置頁(yè)面。在這里，選中“003路由器”選項(xiàng)，通過該選項(xiàng)將單位局域網(wǎng)的網(wǎng)關(guān)地址10.168.1.22自動(dòng)分配給上網(wǎng)終端系統(tǒng)，選中“006DNS服務(wù)器”選項(xiàng)，通過該選項(xiàng)將局域網(wǎng)的DNS服務(wù)器地址動(dòng)態(tài)分配給終端計(jì)算機(jī)。之后在特定作用域名稱上，單擊鼠標(biāo)右鍵，執(zhí)行右鍵菜單中的“激活”命令，讓DHCP服務(wù)器按照既定配置要求，立即為終端計(jì)算機(jī)提供網(wǎng)絡(luò)服務(wù)。

為了讓終端計(jì)算機(jī)正確從DHCP服務(wù)器那里獲取上網(wǎng)地址，還要對(duì)其網(wǎng)絡(luò)連接進(jìn)行設(shè)置，讓其自動(dòng)獲得IP地址。在進(jìn)行該操作時(shí)，逐一單擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，右擊本地連接圖標(biāo)，單擊右鍵菜單中的“屬性”命令，展開本地連接屬性設(shè)置窗口，選中TCP/IP協(xié)議選項(xiàng)，按下“屬性”按鈕，進(jìn)入如圖3所示屬性對(duì)話框，選中“自動(dòng)獲得IP地址”選項(xiàng)，最后單擊“確定”按鈕保存設(shè)置操作。這樣，在這個(gè)小規(guī)模局域網(wǎng)中成功啟用DHCP服務(wù)器后，IP地址搶用現(xiàn)象基本上就能得到控制，那么網(wǎng)絡(luò)運(yùn)行也就相對(duì)安全了。

保護(hù)終端接入安全

圖3 屬性對(duì)話框

圖4 選項(xiàng)設(shè)置頁(yè)面

局域網(wǎng)中的很多終端計(jì)算機(jī)，或多或少地會(huì)感染些病毒，如果讓其從DHCP服務(wù)器那里自由申請(qǐng)上網(wǎng)地址接入網(wǎng)絡(luò)的話，那么整個(gè)局域網(wǎng)很可能都被感染網(wǎng)絡(luò)病毒，顯然這會(huì)給網(wǎng)絡(luò)穩(wěn)定運(yùn)行帶來很大安全威脅。如何才能讓安全、可信的終端計(jì)算機(jī)從DHCP服務(wù)器那里獲取上網(wǎng)地址，而不可信的終端計(jì)算機(jī)禁止從DHCP服務(wù)器那里獲得上網(wǎng)地址呢？很簡(jiǎn)單！只要在DHCP服務(wù)器中動(dòng)動(dòng)以下手腳，讓其依照事先設(shè)置的用戶ID，來判斷待接入網(wǎng)絡(luò)的用戶是否為合法、可信用戶。

易非躺在飄著雪花的非易閣里，睜眼看著窗外，有雪花映照，并不算太黑，還能朦朦朧朧看得見從天而降的飛舞著的雪花。這飄忽而至的冬天的精靈啊，你是那么輕快、灑脫、自由，可惜我不能。

首先進(jìn)入DHCP服務(wù)器所在主機(jī)系統(tǒng)，逐一點(diǎn)選“開始”、“程序”、“管理工具”、“DHCP”選項(xiàng)，展開DHCP控制臺(tái)窗口，右擊DHCP服務(wù)器主機(jī)名稱，從右鍵菜單中選擇“定義用戶類別”命令，切換到新建類別向?qū)?duì)話框。依照操作提示，先設(shè)置一個(gè)合法可信DHCP用戶的ID為“1234”，在ASCII列表下定義好由終端計(jì)算機(jī)系統(tǒng)提供的ID，局域網(wǎng)DHCP服務(wù)器日后會(huì)借助該ID內(nèi)容來匹配類ID，這里假定輸入的ASCII字符也為“1234”，確認(rèn)后結(jié)束合法可信DHCP用戶ID的定義操作。

之后要為該合法可信用戶ID配置正確的上網(wǎng)參數(shù)。在進(jìn)行該操作時(shí)，先從DHCP服務(wù)器控制臺(tái)界面中選擇合適的“作用域選項(xiàng)”，同時(shí)用鼠標(biāo)右擊該選項(xiàng)，從彈出的右鍵菜單中執(zhí)行“配置選項(xiàng)”命令，在其后界面中點(diǎn)擊“高級(jí)”選項(xiàng)卡，展開如圖4所示的選項(xiàng)設(shè)置頁(yè)面，在這里為合法可信的終端計(jì)算機(jī)用戶正確定義好路由地址、DNS參數(shù)、IP地址租約期限以及其他上網(wǎng)參數(shù)等，保證合法可信的終端計(jì)算機(jī)日后能從DHCP服務(wù)器那里申請(qǐng)得到各種需要的上網(wǎng)地址。

接下來需將安全可信的DHCP客戶端系統(tǒng)的DHCP類ID串定義為“1234”，日后DHCP服務(wù)器會(huì)對(duì)該內(nèi)容進(jìn)行自動(dòng)校驗(yàn)，要是校驗(yàn)通過，DHCP服務(wù)器就會(huì)認(rèn)為該客戶端系統(tǒng)是安全可信的，那么它就能獲得一切正確的上網(wǎng)地址，來順利地接入到局域網(wǎng)中。

反之，如果校驗(yàn)不成功的話，那么DHCP服務(wù)器就會(huì)拒絕為之提供各種上網(wǎng)參數(shù)動(dòng)態(tài)分配服務(wù)，這樣非安全可信的終端計(jì)算機(jī)自然就不能隨意接入到局域網(wǎng)環(huán)境中了。

在定義DHCP客戶端系統(tǒng)的DHCP類ID內(nèi)容時(shí)，逐一單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，單擊回車鍵后，打開DOS命令行工作窗口；在該窗口下，輸入命令“ipconfig /setclassid Local Connection 1234”，就能將終端計(jì)算機(jī)系統(tǒng)本地連接的DHCP類ID內(nèi)容指定為“1234”了。如果合法用戶的計(jì)算機(jī)系統(tǒng)中只包含一個(gè)網(wǎng)絡(luò)連接，那么還能使用字符串命令“ipconfig /setclassid* 1234”，將終端計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)連接的DHCP類ID內(nèi)容定義為“1234”了。

下面將終端計(jì)算機(jī)系統(tǒng)的上網(wǎng)地址修改成動(dòng)態(tài)獲取。依次單擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，進(jìn)入網(wǎng)絡(luò)連接列表窗口，打開“本地連接”圖標(biāo)的右鍵菜單，單擊“屬性”命令，切換到本地連接的屬性設(shè)置對(duì)話框，點(diǎn)選“常規(guī)”選項(xiàng)卡，在常規(guī)選項(xiàng)設(shè)置頁(yè)面中，單擊“Internet協(xié) 議（TCP/IP）”選項(xiàng)，按下“屬性”按鈕，進(jìn)入TCP/IP協(xié)議屬性對(duì)話框，同時(shí)選中“自動(dòng)獲得IP地址”、“自動(dòng)獲得DNS服務(wù)器地址”等選項(xiàng)，確認(rèn)后退出設(shè)置對(duì)話框。

如此一來，DHCP類ID內(nèi)容為“1234”的終端計(jì)算機(jī)系統(tǒng)，日后要進(jìn)行網(wǎng)絡(luò)連接時(shí)，會(huì)先向局域網(wǎng)傳輸廣播信息申請(qǐng)上網(wǎng)參數(shù)，DHCP服務(wù)器收到相關(guān)請(qǐng)求后，自動(dòng)校驗(yàn)它的ID內(nèi)容，校驗(yàn)成功后會(huì)將正確的上網(wǎng)地址自動(dòng)反饋給終端計(jì)算機(jī)系統(tǒng)，包括路由地址、DNS參數(shù)、IP地址租約期限以及其他上網(wǎng)參數(shù)等，這時(shí)局域網(wǎng)的接入就會(huì)比平時(shí)安全很多。

預(yù)防ARP欺騙攻擊

大家知道，在局域網(wǎng)中通過ARP網(wǎng)絡(luò)協(xié)議的漏洞，惡意用戶能對(duì)整個(gè)網(wǎng)絡(luò)的安全造成巨大威脅，那么該怎樣才能有效預(yù)防局域網(wǎng)遭遇ARP欺騙攻擊呢？很多用戶都會(huì)選擇對(duì)終端計(jì)算機(jī)的IP地址和MAC地址進(jìn)行捆綁，但逐一在每臺(tái)終端計(jì)算機(jī)中執(zhí)行地址綁定操作，不利于提高操作效率。其實(shí)，我們可以通過在DHCP服務(wù)器中進(jìn)行合適配置，來保證局域網(wǎng)中的終端計(jì)算機(jī)，不會(huì)遭遇ARP欺騙攻擊。

首先獲取終端計(jì)算機(jī)的上網(wǎng)參數(shù)。正常情況下，一個(gè)局域網(wǎng)的初始組網(wǎng)資料中，應(yīng)該包含所有終端計(jì)算機(jī)IP地址和MAC地址的關(guān)系表，要是手頭沒有現(xiàn)成檔案資料時(shí)，可以進(jìn)入終端計(jì)算機(jī)的系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，展開DOS命令行窗口，在該窗口命令提示符下，執(zhí)行字符串命令“ipconfig /all”，返回如圖5所示的結(jié)果信息，從中就能獲取終端計(jì)算機(jī)的IP地址和MAC地址。

圖5 結(jié)果信息

其次進(jìn)行地址綁定操作。先以超級(jí)用戶身份進(jìn)入DHCP服務(wù)器所在主機(jī)系統(tǒng)，依次單擊“開始”、“設(shè)置”、“控制面板”命令，展開系統(tǒng)控制面板窗口，雙擊“管理工具”、“DHCP”圖標(biāo)，彈出DHCP控制臺(tái)界面。將鼠標(biāo)定位到特定作用域節(jié)點(diǎn)下面的“保留”選項(xiàng)上，打開它的右鍵菜單，點(diǎn)選“新建保留”命令，在新建對(duì)話框“保留名稱”位置處，輸入好對(duì)應(yīng)IP地址的保留名稱，在“IP地址”欄中設(shè)置好特定計(jì)算機(jī)使用的IP地址，在“MAC地址”位置處輸入對(duì)應(yīng)計(jì)算機(jī)系統(tǒng)的網(wǎng)卡物理地址，同時(shí)將“支持類型”參數(shù)調(diào)整為“兩者”選項(xiàng)，確認(rèn)后完成特定計(jì)算機(jī)的地址綁定操作。同樣地，將其他終端計(jì)算機(jī)的IP地址和MAC地址也綁定起來，這樣就能成功預(yù)防ARP欺騙攻擊現(xiàn)象了。