雖同在一個局域網(wǎng)，但是各部門有不同的職能，因工作性質(zhì)有不同的安全需求。這時需要進行網(wǎng)絡(luò)隔離，把某些部門或者部門內(nèi)部的某些科室與整個網(wǎng)絡(luò)隔離開。下面的兩個案例比較典型，其采用的隔離方法希望對于網(wǎng)絡(luò)管理人員有所幫助。

案例1

我們公司用ADSL進行撥號，下面接的TP-460的路由器，在路由器接內(nèi)部局域網(wǎng)的端口處有一臺24口的交換機上。內(nèi)部局域網(wǎng)的IP地址段為192.168.1.2 ~ 192.168.1.255，網(wǎng)關(guān)為192.168.1.1?，F(xiàn)在財務(wù)部新設(shè)了一個辦公室，又買了五臺計算機，想讓這五臺計算機可以互相訪問，但是不想讓其他部門的計算機訪問這五臺計算機，在不用再增加一條ADSL線路的情況下，怎么辦呢?

分析：

由于24口的交換機只余下4個RJ45接口，如果想把這五臺計算機都用交換機連接起來是不可能的，但公司又不想再增加ADSL，建議再買一臺6口或8口的交換機，也不過一百塊左右。將新買的交換機接到公司已有的24口交換機上，然后將新加入的5臺計算機連接到新買的6口或8口交換機上，然后用Windows XP自帶的防火墻來達到這五臺計算機可以互相訪問，又不讓其他部門的計算機訪問的目的。

解決方法：

將公司余下的IP地址分給這五臺計算機，如192.168.1.30 ~ 192.168.1.34，默認網(wǎng)關(guān)和DNS同其他計算機一樣(可以到公司其他計算機的“開始→運行”輸入ipconfig /all來查看)。設(shè)置完成后新加入的五臺計算機就可以上網(wǎng)了。(圖1)

這時所有計算機都在一個局域網(wǎng)中，能夠互相訪問。要達到其他計算機不能訪問此五臺計算機的目的，可以啟用Windows XP自帶的防火墻，來阻止局域網(wǎng)中其他計算機來訪問，又可利用防火墻的“例外”功能，實現(xiàn)符合條件的計算機來訪問。

首先設(shè)置新加入的五臺計算機中的一臺的防火墻，選擇“開始→設(shè)置→控制面板→Windows防火墻”，打開“Windows防火墻”對話框，選擇“常規(guī)”選項卡，選擇“啟用”單選項按鈕。(圖2)

然后打開“例外”選項卡，選擇“文件和打印共享”復(fù)選框，單擊“編輯”按鈕，打開“編輯服務(wù)”對話框，在“編輯服務(wù)”窗口中選擇“TCP 139”端口，單擊“更改范圍”按鈕，選擇“更改范圍”對話框中的“自定義列表”單選按鈕，將新加入的其余4臺計算機的IP地址輸入到列表中(用逗號隔開)，然后加上子網(wǎng)掩碼255.255.255.0(用“/”將IP地址與子網(wǎng)掩碼隔開)，例如“192.168.1.31，192.168.1.32，192.168.1.33 , 192.168.1.34/255.255.255.0 ”如圖3。然后將“編輯服務(wù)”窗口中其余3個端口按同樣的方法設(shè)置即可。這時擁有“例外”功能的4臺計算機可以訪問到此計算機。(圖3)

最后將其余4臺新計算機按照與此計算機相同的方法設(shè)置。這樣5臺新調(diào)入的計算機就可以上網(wǎng)，也可以互相訪問，但公司里其他計算機不可以訪問到這五臺計算機。#p#

案例2

單位的某些主機，因為工作原因，需要同時上內(nèi)網(wǎng)和外網(wǎng)，兩個網(wǎng)段都有自己固定的IP和網(wǎng)關(guān)，目前該機始終只能訪問其中一個網(wǎng)段。如果其中一臺主機的內(nèi)網(wǎng)IP地址為10.1.1.100網(wǎng)關(guān)為10.1.1.254，外網(wǎng)的IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，如何設(shè)置才能讓主機同時訪問兩個網(wǎng)段?

分析：

想要同時訪問內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)和外網(wǎng)都有自己固定的IP和網(wǎng)關(guān)，而一臺計算機又不允許同時有兩個網(wǎng)關(guān)。有三種解決途徑：一是另外加一個網(wǎng)卡分別綁定一個網(wǎng)關(guān);二是不加網(wǎng)卡，又想同時訪問兩個網(wǎng)段，可以用“route”命令來配置一下;三是用虛擬機來解決問題。

解決方法：

1、禁用法

在臺式機上安裝現(xiàn)場網(wǎng)卡，第一塊網(wǎng)卡命名為“內(nèi)網(wǎng)”，IP地址為10.1.1.100網(wǎng)關(guān)為10.1.1.254，用于訪問內(nèi)網(wǎng)。第二塊網(wǎng)卡命名為“外網(wǎng)”，IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，用于訪問外網(wǎng)。當要訪問內(nèi)網(wǎng)時，自動啟用“內(nèi)網(wǎng)”網(wǎng)卡，禁用“外網(wǎng)”網(wǎng)卡。訪問外網(wǎng)時，反之。(圖4)

總結(jié)：這種方法很簡單，是普遍采用的方法，但它需要兩塊網(wǎng)卡，需要投入一定的成本。

2、Route法

如果臺式機不加網(wǎng)卡，但連接了交換機，該交換機又能連接內(nèi)網(wǎng)和外網(wǎng)，就可采用Route法。假設(shè)內(nèi)網(wǎng)需要訪問的網(wǎng)段是10.0.0.0/8，外網(wǎng)需要訪問的網(wǎng)段是20.0.0.0/8，在臺式機網(wǎng)卡上添加10.1.1.100和20.1.1.200兩個IP地址(子網(wǎng)掩碼都為255.255.255.0)，接著在命令提示符下輸入如下命令：(圖5)

route add -p 10.0.0.0 mask 255.0.0.0 10.1.1.254 (內(nèi)網(wǎng))

route add -p 0.0.0.0 mask 0.0.0.0 20.1.1.254 (外網(wǎng))

總結(jié)：如果安全允許，這種方法是最安全經(jīng)濟的。

方法三：虛擬機法

在臺式機上安裝虛擬機軟件VMware Workstation 6，在其中安裝Windows XP Professional虛擬機，設(shè)置虛擬機的網(wǎng)卡為“橋接”網(wǎng)卡。(圖6)

在臺式機上，設(shè)置主機的網(wǎng)卡的IP地址為20.1.1.200，網(wǎng)關(guān)為20.1.1.254，用于訪問外網(wǎng)，在XP虛擬機中設(shè)置網(wǎng)卡的IP地址10.1.1.100，網(wǎng)關(guān)為10.1.1.254，用于訪問內(nèi)網(wǎng)(子網(wǎng)掩碼都為255.255.255.0)。(虛擬機有四種網(wǎng)絡(luò)連接，使用其中的橋接方式，此時虛擬機相當于網(wǎng)絡(luò)中的一臺獨立主機。)

總結(jié)：這種方法是最安全的。如果單位對于網(wǎng)絡(luò)的安全要求比較高，建議采用這種方法訪問兩個網(wǎng)段，用主機訪問外網(wǎng)，虛擬機訪問內(nèi)網(wǎng)，虛擬機和主機之間互不通信，這樣就保證了數(shù)據(jù)的安全。

【編輯推薦】

1. 網(wǎng)絡(luò)管理：局域網(wǎng)盜用IP地址的安全問題
2. 中小企業(yè)局域網(wǎng)網(wǎng)絡(luò)管理方案