DHCP上動手腳，安全有保障

引言： DHCP服務器主要作用就是為上網計算機，動態分配IP地址、默認網關、DNS等參數，提高它們網絡連接效率的。在DHCP服務器對外服務的過程中，加入安全控制設置，不但能夠獲得較高的網絡接入效率，而且能夠獲得良好的安全保障效果，讓局域網上網安全又高效。

大家知道，DHCP服務器主要作用就是為上網計算機，動態分配IP地址、默認網關、DNS等參數，提高它們網絡連接效率的。如果我們能夠拓寬思路，在DHCP服務器對外服務的過程中，靈活加入一些安全控制設置，不但能夠獲得較高的網絡接入效率，而且能夠獲得良好的安全保障效果，讓局域網上網安全又高效。現在，本文就在DHCP服務器中動一些手腳（假設該服務器部署于Windows Server 2003系統中），讓局域網上網安全更有保障！

保護重要主機安全

圖1新建保留設置框

首先以超級用戶身份登錄進入DHCP服務器所在主機系統，逐一點選“開始”、“設置”、“控制面板”命令，進入系統控制面板窗口，依次雙擊“管理工具”、“DHCP”圖標，彈出DHCP服務器參數配置控制臺。用鼠標右鍵單擊特定DHCP服務器選項，點選右鍵菜單中的“屬性”命令，展開指定DHCP服務器屬性設置對話框。

其次檢查重要主機使用的IP地址，是否位于DHCP服務器的動態地址池中，如果不在其中，那就沒有必要建立保留地址。如果看到這個IP地址處于動態地址池中時，可以選中重要主機所在的DHCP服務器特定作用域，打開它的右鍵菜單，單擊“保留”命令，從彈出的右鍵菜單中執行“新建保留”命令，切換到如圖1所示的新建保留設置框。

最后在該設置對話框中，輸入好保留名稱、保留地址以及重要主機的網卡物理地址，按下“添加”按鈕，完成重要主機保留IP地址的創建操作。這樣，重要主機日后就不需要參與IP地址的動態分配了，而新建的保留IP地址為重要主機單獨使用，以后該主機就不會出現類似IP地址被突然搶用的安全威脅了。

值得注意的是，在創建保留IP地址時，將欲保留的某個目標IP地址，和需要固定IP地址的重要主機網卡Mac地址捆綁在一起即可。重要主機的網卡MAC地址獲取，可以在對應主機系統的MS-DOS窗口中，通過使用“ipconfig /all”命令來查詢。

保護網絡運行安全

在一些組網規模較小的工作環境中，網絡管理員常常會為終端計算機分配一段連續的靜態IP地址，同時在上聯防火墻或路由器上采用NAT技術來實現網絡訪問目的。但就是這樣規模的網絡，運行特別不穩定，IP地址搶用現象頻繁發生，這主要就是終端用戶在重裝系統后，忘記以前使用的IP地址，于是隨意設置一個，或者將私人筆記本電腦帶到單位后，隨意為其分配一個IP地址，結果自然容易引起IP地址搶用現象。發生這種現象時，一般很難快速找到搶用者，一是網絡環境較差，網管員不方便通過專業監控工具尋找被搶用IP地址，二是終端用戶自己不是很配合。為了保護網絡穩定運行，我們可以通過對DHCP服務器進行針對性設置，讓終端用戶搶用地址現象有效避免。

圖2 選項設置頁面

首先為局域網分配特定范圍的IP地址。例如，如果為單位局域網分配的IP地址段為10.168.1.22-10.168.1.58，為DHCP服務器分配的IP地址為10.168.1.26，掩碼地址為255.255.255.0，網關地址為10.168.1.22。那只要在DHCP服務器所在主機系統，依次單擊“開始”、“設置”、“控制面板”命令，進入系統控制面板窗口，逐一雙擊“管理工具”、“DHCP”圖標，彈出DHCP服務器參數配置控制臺。用鼠標右鍵單擊特定DHCP服務器選項，點選右鍵菜單中的“新建作用域”命令，展開創建作用域對話框，點選“常規”選項卡，切換到如圖2所示的選項設置頁面，在該頁面起始IP地址文本框中輸入“10.168.1.22”，在結束IP地址文本框中輸入“10.168.1.58”。

接著將租約期限、添加排除這兩個參數都設置為默認值，當向導對話框提示是否“配置DHCP選項”時，選中“否，我想稍后配置這些選項”，確認后返回DHCP服務控制臺界面。右擊剛剛創建的作用域選項，單擊右鍵菜單中的“配置選項”命令，進入配置選項對話框，點選“高級”選項卡，打開高級選項設置頁面。在這里，選中“003路由器”選項，通過該選項將單位局域網的網關地址10.168.1.22自動分配給上網終端系統，選中“006DNS服務器”選項，通過該選項將局域網的DNS服務器地址動態分配給終端計算機。之后在特定作用域名稱上，單擊鼠標右鍵，執行右鍵菜單中的“激活”命令，讓DHCP服務器按照既定配置要求，立即為終端計算機提供網絡服務。

為了讓終端計算機正確從DHCP服務器那里獲取上網地址，還要對其網絡連接進行設置，讓其自動獲得IP地址。在進行該操作時，逐一單擊“開始”、“設置”、“網絡連接”命令，右擊本地連接圖標，單擊右鍵菜單中的“屬性”命令，展開本地連接屬性設置窗口，選中TCP/IP協議選項，按下“屬性”按鈕，進入如圖3所示屬性對話框，選中“自動獲得IP地址”選項，最后單擊“確定”按鈕保存設置操作。這樣，在這個小規模局域網中成功啟用DHCP服務器后，IP地址搶用現象基本上就能得到控制，那么網絡運行也就相對安全了。

保護終端接入安全

圖3 屬性對話框

圖4 選項設置頁面

局域網中的很多終端計算機，或多或少地會感染些病毒，如果讓其從DHCP服務器那里自由申請上網地址接入網絡的話，那么整個局域網很可能都被感染網絡病毒，顯然這會給網絡穩定運行帶來很大安全威脅。如何才能讓安全、可信的終端計算機從DHCP服務器那里獲取上網地址，而不可信的終端計算機禁止從DHCP服務器那里獲得上網地址呢？很簡單！只要在DHCP服務器中動動以下手腳，讓其依照事先設置的用戶ID，來判斷待接入網絡的用戶是否為合法、可信用戶。

易非躺在飄著雪花的非易閣里，睜眼看著窗外，有雪花映照，并不算太黑，還能朦朦朧朧看得見從天而降的飛舞著的雪花。這飄忽而至的冬天的精靈啊，你是那么輕快、灑脫、自由，可惜我不能。

首先進入DHCP服務器所在主機系統，逐一點選“開始”、“程序”、“管理工具”、“DHCP”選項，展開DHCP控制臺窗口，右擊DHCP服務器主機名稱，從右鍵菜單中選擇“定義用戶類別”命令，切換到新建類別向導對話框。依照操作提示，先設置一個合法可信DHCP用戶的ID為“1234”，在ASCII列表下定義好由終端計算機系統提供的ID，局域網DHCP服務器日后會借助該ID內容來匹配類ID，這里假定輸入的ASCII字符也為“1234”，確認后結束合法可信DHCP用戶ID的定義操作。

之后要為該合法可信用戶ID配置正確的上網參數。在進行該操作時，先從DHCP服務器控制臺界面中選擇合適的“作用域選項”，同時用鼠標右擊該選項，從彈出的右鍵菜單中執行“配置選項”命令，在其后界面中點擊“高級”選項卡，展開如圖4所示的選項設置頁面，在這里為合法可信的終端計算機用戶正確定義好路由地址、DNS參數、IP地址租約期限以及其他上網參數等，保證合法可信的終端計算機日后能從DHCP服務器那里申請得到各種需要的上網地址。

接下來需將安全可信的DHCP客戶端系統的DHCP類ID串定義為“1234”，日后DHCP服務器會對該內容進行自動校驗，要是校驗通過，DHCP服務器就會認為該客戶端系統是安全可信的，那么它就能獲得一切正確的上網地址，來順利地接入到局域網中。

反之，如果校驗不成功的話，那么DHCP服務器就會拒絕為之提供各種上網參數動態分配服務，這樣非安全可信的終端計算機自然就不能隨意接入到局域網環境中了。

在定義DHCP客戶端系統的DHCP類ID內容時，逐一單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令，單擊回車鍵后，打開DOS命令行工作窗口；在該窗口下，輸入命令“ipconfig /setclassid Local Connection 1234”，就能將終端計算機系統本地連接的DHCP類ID內容指定為“1234”了。如果合法用戶的計算機系統中只包含一個網絡連接，那么還能使用字符串命令“ipconfig /setclassid* 1234”，將終端計算機系統網絡連接的DHCP類ID內容定義為“1234”了。

下面將終端計算機系統的上網地址修改成動態獲取。依次單擊“開始”、“設置”、“網絡連接”命令，進入網絡連接列表窗口，打開“本地連接”圖標的右鍵菜單，單擊“屬性”命令，切換到本地連接的屬性設置對話框，點選“常規”選項卡，在常規選項設置頁面中，單擊“Internet協 議（TCP/IP）”選項，按下“屬性”按鈕，進入TCP/IP協議屬性對話框，同時選中“自動獲得IP地址”、“自動獲得DNS服務器地址”等選項，確認后退出設置對話框。

如此一來，DHCP類ID內容為“1234”的終端計算機系統，日后要進行網絡連接時，會先向局域網傳輸廣播信息申請上網參數，DHCP服務器收到相關請求后，自動校驗它的ID內容，校驗成功后會將正確的上網地址自動反饋給終端計算機系統，包括路由地址、DNS參數、IP地址租約期限以及其他上網參數等，這時局域網的接入就會比平時安全很多。

預防ARP欺騙攻擊

大家知道，在局域網中通過ARP網絡協議的漏洞，惡意用戶能對整個網絡的安全造成巨大威脅，那么該怎樣才能有效預防局域網遭遇ARP欺騙攻擊呢？很多用戶都會選擇對終端計算機的IP地址和MAC地址進行捆綁，但逐一在每臺終端計算機中執行地址綁定操作，不利于提高操作效率。其實，我們可以通過在DHCP服務器中進行合適配置，來保證局域網中的終端計算機，不會遭遇ARP欺騙攻擊。

首先獲取終端計算機的上網參數。正常情況下，一個局域網的初始組網資料中，應該包含所有終端計算機IP地址和MAC地址的關系表，要是手頭沒有現成檔案資料時，可以進入終端計算機的系統運行對話框，輸入“cmd”命令，展開DOS命令行窗口，在該窗口命令提示符下，執行字符串命令“ipconfig /all”，返回如圖5所示的結果信息，從中就能獲取終端計算機的IP地址和MAC地址。

圖5 結果信息

其次進行地址綁定操作。先以超級用戶身份進入DHCP服務器所在主機系統，依次單擊“開始”、“設置”、“控制面板”命令，展開系統控制面板窗口，雙擊“管理工具”、“DHCP”圖標，彈出DHCP控制臺界面。將鼠標定位到特定作用域節點下面的“保留”選項上，打開它的右鍵菜單，點選“新建保留”命令，在新建對話框“保留名稱”位置處，輸入好對應IP地址的保留名稱，在“IP地址”欄中設置好特定計算機使用的IP地址，在“MAC地址”位置處輸入對應計算機系統的網卡物理地址，同時將“支持類型”參數調整為“兩者”選項，確認后完成特定計算機的地址綁定操作。同樣地，將其他終端計算機的IP地址和MAC地址也綁定起來，這樣就能成功預防ARP欺騙攻擊現象了。