2022年DHCP服务器管理 .pdf

《2022年DHCP服务器管理 .pdf》由会员分享，可在线阅读，更多相关《2022年DHCP服务器管理 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DHCP 服务器管理通过这段时间的学习，大家应该对DHCP 服务器 的内容有所掌握了，除了了解它的一些概念和 配置内容，我们也需要对其管理有所掌握。我们都知道，IP 地址是企业 局域网 主机进行相互 通信的基础。若主机没有IP 地址的话，则这台主机是不能够上网的。而 DHCP 服务器则是掌管着管理企业局域网主机IP 地址的重任，若其出现安全性漏洞的话，则对于企业整个局域网的打击是致命的，会导致企业整个网络的瘫痪。所以，网络管理员 在部署 DHCP 服务器的同时，还需要关注一下，DHCP 服务器的安全性问题。具体的来说，我们可以从以下几个方面入手，做好DHCP 服务器的安全性管理。第一步：管理好

2、管理员帐户。DHCP 服务器安全性设计的第一步就是要做好管理员帐户的安全措施。因为无论是黑客，还是木马或者病毒，其若没有取得 管理员权限 的话，则其破坏性也是非常有限的。所以，网络管理员第一步要做就是看看该如何保护好这个管理员帐户。为此，不同的 DHCP 服务器角色有不同的保护措施。如我们是在路由器上采用DHCP 服务的，则可以通过IP 地址等限制。因为路由器的话，我们一般都通过远程来管理DHCP 服务器，如通过 TELENT 或者 SSH协议远程连接到服务器上进行管理。为此，我们可以指定一台主机，只有这台主机才可以连接到路由器上进行DHCP 服务器的管理。为此，我们可以在路由器的防火墙 上配

3、置，只允许某个IP 地址或者 MAC 地址的主机才能够连上来进行DHCP 服务管理。通过这种方式，再加上用户的口令，则可以比较好的保障管理员帐户的安全性。从而不让攻击者有机可乘，破坏 DHCP 服务器的安全与稳定。如 DHCP 服务器是部署在微软的 操作系统 上，并且在域环境中，则管理起来更加的方便。如我们可以在 活动目录 用户和计算机中，可以建立一个用户，专门用来管理 DHCP 服务器。用户新建立之后，则可以把这个用户指定为管理员角色，让其有权限管理 DHCP 服务器。一般来说，笔者是建议各个服务器的话，采用不同的管理员帐户。这主要是避免某个管理员帐户与口令被泄漏之后，其只影响某个特定的服务

4、，对其他服务不会有什么不良的影响。另外，对于建立在微软操作系统的 DHCP 服务器来说，也可以实现 远程管理。为此，我们也可以利用微软操作系统自带的 安全策略，指定只有哪些主机可以连接到DHCP 服务器上进行相关的管理动作。总之，攻击者要攻击企业的DHCP 服务器的话，第一步是收集相关的信息然后进行分析;第二步就是设法取得管理员权限的帐户与口令。若我们能够保护好管理员帐户与口令的话，则非法攻击者将拿我们没办法。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 3 页 -第二步：要了解DHCP 服务器的运行情况。做好管理员帐户的安全措施之后，网络管理员接下去要做的就是了解DHCP 服

5、务器的运行状况;以及在 DHCP 出现故障之前到底发生了什么事情，或者出现过哪些异常的情况。要做到这一点，最好的办法就是查看DHCP 服务器的日志。不过，有些 DHCP 服务器默认情况下，是没有开启DHCP 服务器的审核记录日志的。若要启用这个功能，往往需要我们手工开启。否则的话，DHCP 服务器的一些运行信息，包括一些异常信息是无法被服务器的日志所记录的。下面笔者以微软操作系统自带的DHCP 服务为例，谈谈如何开启这个“审核记录”的功能。我们在 管理工具 中，找到 DHCP 服务器管理器，打开 DHCP 服务器控制台窗口，右键单击我们的服务器，选择属性。在弹出的对话框中，切换到“常规”标签，

6、看看“启用 DHCP 审核记录”选项是否被选中。若选中的话，则DHCP 服务器的一些运行信息，就会被保存在系统的日志中。否则的话，就不会记录DHCP 服务器的运行状态，我们也就不能够知道DHCP 服务器到底出了什么事情。不过有些时候，黑客光临了DHCP 服务器之后，往往会想法设法的隐藏自己的踪迹。其中有一项措施就是修改或者删除日志文件。为此，我们为了防止不法攻击者非法修改日志文件，我们需要更改这个日志文件的默认路径。在同一个对话框中，我们可以看到一个“数据库 路径”的选项。后面的内容就是这个日志默认的保存地点。网络管理员可以根据实际情况，选择合适的日志保存路径。另外，这个日志也是我们日后DHC

7、P 服务器出现故障后排除错误的一个重要基础数据。所以，我们还需要对这个日志文件作好相关的备份工作。否则的话，当这个日志意外丢失后，我们就很对查清DHCP 服务器的故障了。还有就是最好能够对这个日志进行异地备份，如此的话，即使DHCP 服务器全部瘫痪了，我们也可以从异地备份的日志中看到DHCP 服务器最后做了哪些动作，才会导致这个服务器故障。第三步：设置管理员组。在大型网络中，往往不只一个网络管理员。各个网络管理员分工合作，各司其责。所以，我们网络管理员不希望其他的同伙，如防火墙管理人员能够管理其不应该管理的 DHCP 服务器。也就是说，我们要把DHCP 服务器的管理员设置在最小范围之内。在实际

8、工作中，有些网络管理员可能比价喜欢偷懒，没有具体区分每个管理员的工作范围;在帐户上，也没有区分彼此的权限。如在域环境中，有些网络管理员就直接设置了一个管理员组。在这个管理员组中所有用户对所有的网络设备 与服务器都具有管理的权限。笔者认为，如此的吃大锅饭的做法，是比较不合适的，危险的隐患比较大。下面笔者就以微软的域环境为例，谈谈如何把DHCP 服务器的管理员角色跟其他的管理员角色区分开来。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 3 页 -首先，我们在管理工具中，找到“域安全策略”管理工具，双击打开这个工具。在弹出的对话框中，依次打开Windos 设置、安全设置、受限制的组。

9、然后新添加一个组。在弹出的对话框中，输入DHCP Administrators。然后，点确定保存。如此的话，只有这个组中的用户对DHCP 服务器具有管理的权限。其他组的用户，即使具有其他服务器的管理权限，也无法管理DHCP 服务。其次，就是新建管理员用户，并把它加入到这个DHCP 管理员组中。在 DHCP Administrators 组中，选择“安全性”，在弹出的对话框中，选择“添加”，并把我们刚才建立的用户加入到这个组中。如此的话，我们就可以把DHCP 服务器管理员尽量的缩小。我们的目标就是企业网络可能有多个管理员，但是，DHCP 服务器只有一个管理员。这么设计，对于 DHCP 的安全性与

10、稳定性是非常有帮助的。第四步：做好 DHCP 服务器相关设置的备份工作。在 DHCP 服务器中，进行的一些相关配置，我们都需要进行备份。如地址池中有哪些可以分配的地址，哪些ip 地址是不能够被分配的;如租约的期限是多少;如是否有 IP 地址跟 MAC 地址绑定的设置;等等。对于这些内容的话要及时的进行备份，并且随着DHCP 服务器的调整及时的进行改写。如此的话，当DHCP服务器出现故障的时候，我们可以在短时间内建立起一个新的DHCP 服务器，从而减少因为 DHCP 服务器故障给企业网络带来的不利影响。另外，有些企业还会给网络设置一个冗余的DHCP 服务器。当这个 DHCP 服务器出现故障的话，

11、另外一个DHCP 服务器可能马上接替其进行工作。当然，这个冗余的 DHCP 服务器其是跟主服务器同步的。主服务器的相关配置的调整会及时的反应到冗余服务器上面。其实，这也是一个DHCP 服务器的 热备份。不过，企业到底有没有需要建立一个冗余的DHCP 服务器呢?这主要是根据企业的实际情况来判断的。因为由于租约的概念，到租约没有到期，其实DHCP 服务器出现短期的故障，也没有多大的影响。这跟其他的服务器，如应用程序服务期或不同。这些服务器出现故障的时候，大部分业务将无法运行。所以，这些应用程序服务期要能够保障在工作日内安全稳定的运行。所以，DHCP 服务器的话，出现短时的故障，一般不会给企业网络带

12、来致命的影响。但是，这有个前提，就是在短期之内。若网络管理员能够保证在短时间内修复或者重建DHCP 服务器的话，则建立一个冗余的DHCP 服务器就没有多少必要了。当然这是笔者个人观点。总之，随着企业 DHCP 服务器应用越来越广泛，而且，在DHCP 服务上也能够进行一些智能的控制，如IP 地址与 MAC 地址绑定等等。所以，现在DHCP 服务器也逐渐在成为黑客与其他不法攻击者所关注的对象。为此，网络管理员现在也要开始做好 DHCP 服务器的安全性设计。上面是笔者自己在DHCP 服务器管理上的一些心得。也许说的不够全面，但是句句都是金玉良言，是经验之谈名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 3 页 -