局域网安全与防御(2)

启用DHCP侦听功能后，默认情况下所有端口均不受信任. 要将端口配置为可信端口，配置命令如下:

switch(config-if)# ip dhcp snooping trust

（3）配置以防止DHCP耗尽***

限制DHCP消息的速率，减慢DHCP耗尽***，在不受信任的端口上配置以下命令:

switch(config-if)# ip dhcp snooping limit rate {rate}     //rate为报文速率，单位p/s，Cisco2960交换机1-2048p/s

您还可以启用MAC地址验证功能，以防止错误的MAC地址请求IP地址，从而实现DHCP耗尽***局域网交换机安全，配置命令如下:

switch(config)# ip dhcp snooping verify mac-address

当非信任端口上的DHCP数据包速率大于指定值时，将发生违例并且端口将处于err-disabled状态. 与上面的违反MAC地址类似，您也可以手动恢复. 自动恢复如下所述. 设置禁用错误的计时器. 命令如下:

switch(config)# errdisable recovery cause dhcp-rate-limit    //配置出现err-disabled状态的原因
switch(config)# errdisable recovery interval {time}         //time为30-86400，单位为s

（4）查询DHCP状态

switch# show ip dhcp snooping                 //查看当前DHCP状态及各端口情况
switch# show ip dhcp snooping binding          //查看当前DHCP表
switch# clear ip dhcp snooping binding         //清除DHCP表

Case: 在交换机上启用DHCP侦听并将不可信端口上的DHCP数据包速率限制为100p / s

switch(config)# ip dhcp snooping                 //启用DHCP
switch(config)# ip dhcp snooping vlan 1          //的VLAN 
switch(config)# int f0/21
switch(config-if)# ip dhcp snooping trust 
switch(config-if)# exit
switch(config)# int range f0/1 - 20
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit
switch(config)# int range f0/22 - 24
switch(config-if-range)# ip dhcp snooping limit rate 100
switch(config-if-range)# exit

如果上述DHCP服务器是路由器，则客户端可能无法获取IP地址. 您可以在其上配置以下任何命令:

router(config-if)# ip dhcp relay information trusted       //接收DHCP报文的接口
或者
router(config)# ip dhcp relay information trust-all        //全局模式，对所有接口生效

方案3: 在网络上部署防病毒软件

版和杀毒软件之间的最大区别是，您可以通过控制中心管理网络中的任何计算机，统一杀毒，升级病毒等，从而实现网络范围的管理. 它通常由服务器和客户端组成，具有以下特征:

（1）客户端防病毒软件可以远程安装或卸载

（2）可以阻止用户自行卸载客户端防病毒软件

（3）可以在整个网络中统一开发，分发和执行防病毒策略.

（4）您可以远程监视客户端系统的运行状况

（5）提供远程警报手段以自动将病毒信息发送给网络管理员

（6）允许客户端自定义防病毒策略

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-145953-2.html