我单位局域网安全现状及解决思考

       来自动化部门工作已经半年多了，在这半年里除了业务外，让我感触最深的就是局域网安全问题，现将我单位安全现状分析如下：

      1、用户IP私自修改，不利于定位和管理用户。本想通过交换机或路由器实现MAC与IP绑定，但是现实困难重重。一是单位交换机与路由器由于不是高端的，不支持MAC-IP绑定，若更换需要不少费用，领导不同意；二是即使MAC-IP绑定，个别用户也懂得同时修改MAC-IP来冒充。

      2、个人电脑私自接入上级涉密网络。由于上级网络是涉密的，只有单位电脑才允许接入，其它电脑接入将导致泄密。目前上级网络采取"用户-口令"认证的方式来允许用户登录，不过内部人员使用分发的帐号在个人电脑上上网就无法发现了。

      3、缺乏对用户管理力度。上级单位下发的登录认证客户端只具有简单的用户-口令认证功能，对于盗用帐号没有任何办法。测试市面上几款局域网管理软件如汇源主机监控与审计系统、聚生网管和Active Wall等，发现这样一种怪现象。如汇源主机监控与审计系统有不错的控制能力，但用户若重装系统就无法控制了；Active Wall能够很好防止这点，但缺乏控制力度，而且Active wall若进行MAC-IP绑定，会出现丢包现象。最关键这些产品都需要一笔不少的费用，领导不支持。

      分析到这里，哈哈......局域网安全解决难度不是一般的大，不过由于自己是安全专业出身的，所以根据目前现状，提出如下需求：一是用户不通过自动化认证就无法上网(借鉴Active Wall,可以弥补如汇源主机监控与审计系统类软件的不足)；二是用户认证信息具有不可冒充性，采取硬件信息作为认证依据，这里我采用硬盘和网卡来识别用户；三是采用C/S模式来管理与认证，可以实现在线与离线的管理；四是通过软件来实现此需求，硬件或市场上专业软件需要一笔不少的费用。像市场上此类软件收费标准基本是100元/人,我们单位有500个用户，至少5万元投入领导那关通过不了，高配置交换机或路由器更是如此，而且目前也没发现能满足上面需求的软件或硬件(也许是个人见识浅薄，有这样软件或硬件还请转告)  。

图1-1是单位简单网络结构图，下面在这图基础上说说解决思考：

服务器：安装有两个网卡，一个接内网交换机(配置没有要求)，另一个接外网交换机(配置没有要求)，所有内网用户访问外网都是通过内网交换机，在服务器上认证通过后由外网网卡提交到外网交换机，再通过路由器访问外网。

客户机：认证客户端运行后，将自动提交硬件信息到服务器进行认证，并接受服务器的管理。

下图1-2是软件架构原理图，至于源程序将在下几篇文章中谈讨。