请注意企业中拨号网络的安全
2000-08-17 11:05:20
随着企业中网络的发展和应用,网络安全成为越来越重要的问题。因为工作需要,许多企业都设置了自己的拨号服务器,为移动用户和远程用户提供接入服务,事实上绝大多数的入侵也是通过拨号网络实现的,所以这部分自然也就成为企业网络安全最重要也是最薄弱的环节之一。
企业拨号网络示意图
解决步骤
1.解除账号默认的IP地址,即必须由NET SERVER分配IP地址,保证拨号上网用户的IP地址全部处于可管理范围内。
2.对于公用账号,NET SERVER验证后,由IP地址缓冲池内随机取得一个IP地址进入网络,并记录IP地址缓冲池范围,路由器中为该IP地址范围划定一个子网,禁止路由至其他网段。这样,可以使得用公用口令的用户仅能访问限制范围内的资源。
3.对权限较高的用户采用指定IP地址,即为每一特定账号指定一IP地址。当使用该账号登录时,NET SERVER为该账号分配预定的地址,管理员可以从记录的IP地址查出对应的用户账号,并能根据IP地址划分对应的权限。
4.设定回拨号码和账号,当使用该账号名登录时,NET SERVER自动回拨到设定的电话号码,确认用户是在指定的地点拨号,这样的话即使口令失窃也无法被盗用。
以“我”为例
网络的入侵者既可能是外部黑客,也可能是企业内部的员工。针对这种情况,有必要对拨号接入的用户进行分级,限制访问权限,并对访问过程进行记录。在满足用户需要的前提下,对本单位拨号网络存在的安全漏洞及时进行修补。
以我们单位为例,两个分支机构与总部的距离分别是25和60公里,大部分普通用户只能通过拨号访问发送邮件、浏览主页,部分高级用户需要通过拨号访问整个网络,网络管理员要求能够通过拨号访问管理网络。
我们单位使用的拨号网络设备是一台美国的USR NET SERVER ,其组成是8口拨号池(Modem Pool)加远程访问路由器,再接入八条电话线。电信局程控交换机端设置成“大号连选”模式(因为考虑到中继线太贵),用一个电话号码拨接这八条线。普通用户可以使用统一的公用账号登录,但是只能允许访问MAIL 和WWW 服务器,高级用户可以访问全部网络资源。由于要加强安全性,所以对访问过程必须有可供查询的记录。
●USR NET SERVER 配置命令如下:
netserver〉add user abcde password fgtdb type network,callback
(添加回拨账号 abcde)
netserver〉set user abcde phone 8571094
(添加回拨电话号码 8571094)
netserver〉set net user abcde address specified remote 10.67.153.119
(为账号 abcde 指定IP地址 10.67.153.119)
netserver〉add user hhh password hhhh
(添加公用账号 hhhh)
netserver〉save all
(保存配置信息)
save all complete
(结束)
摘自《赛迪网》 /文 |
404 Not Found
404 Not Found
nginx
|
|