使用DHCP来防止未授权机器访问网络

　　通过本文学习如何设置DHCP类来防止未经授权的机器得到公司网络中机器的DHCP地址。

　　问题

　　TechRepublic的成员 slk1@rcn.com这样问道："在我的Windows网络上，我应该如何做才能够防止那些使用Macs系统而没有授权的人访问因特网？"

　　另外，还有一个不同的问题，这是技术团体成员adembo贴出来的："我正在寻找这样一种解决方案：对于那些使用自己的笔记本的来宾，虽然我们提供了一个可用的端口，但是在不能判断他的笔记本系统上安装有恰当的安全设置和防病毒软件时，我们可以拒绝为其分配DHCP地址。要解决这个问题，我们应该做些什么？我曾经考虑过使用证书服务器，但是我不知道是否这样做能够起作用。用户不需要登录到我们的网络上，所以我不知道如何使用组策略来实现。有什么好办法吗？"

　　解决方案

　　最好的解决方案是成员zrabi所提供的方案："如果你使用Windows 2000（或者是Windows Server 2003）作为DHCP服务器的话，你可以将你的Windows机器作为一个DHCP类。在DHCP服务器上，你可以为该类指定一个网关（路由器）地址。没有DHCP类的机器或者其他类的机器将无法得到路由器的地址。……并且没有因特网访问的权限。以下是一些与之相关的连接：

　　如何创建一个新的DHCP用户或者提供商类 【Q240247】。

　　在Windows 2000 DHCP 客户端如何配置DHCP类ID 【Q235272】。

　　根据微软的知识库文章Q240247，这里介绍的是如何设置DHCP类：

　　创建一个新用户或者提供商选项类

　　启动DHCP管理器。

　　在控制台树结构中，点击"可使用的DHCP服务器"分支。

　　右击"服务器"，然后点击"定义用户类"来创建一个新的用户类，或者点击"定义提供商类"来创建一个新的提供商类。

　　点击"添加"。

　　在"新类"对话框中，在"显示名字"编辑框中为新的选项输入一个描述性的标识名字。在"描述"框中你也可以添加附加信息。

　　在ID或者ASCII下输入由DHCP客户端提供的数据，DHCP服务器服务中要用这些数据来匹配类ID。点击"文本输入框"的左侧，以十六进制字节数值输入数据。点击"文本输入框"的右侧，以ASCII文本字符值输入数据。

　　点击"确定"，然后点击"关闭"。

　　为新的类ID配置DHCP范围

　　在"DHCP管理器"中，双击相应的"DHCP范围"。

　　右击"范围选项"，然后点击"配置选项"。

　　点击"高级"。

　　点击选择复选框或者你想要使用的新的提供商或者用户类。

　　点击"确定"。

　　为客户端计算机设置指定的DHCP类ID串

　　连接到基于Windows 2000的DHCP服务器的客户端计算机可以使用下面的命令来设置指定的DHCP类ID串：

　　ipconfig /setclassid adapter_name class_id

　　例如，要对一个称之为"局域网连接"的网卡配置用户类ID为"myuserclass"的DHCP类，只需要在命令行中输入ipconfig /setclassid "Local Area Connection" myuserclass，然后按下回车即可。

　　可选的解决方案

　　除了设置DHCP类这种方法外，还有一些其他的方法可以防止未授权的机器访问因特网。

　　成员markusfrei@gmx.net的建议是："你可以安装一个代理服务器，并且设置所有的计算机只能通过代理服务器来访问因特网，这样你就可以设置允许哪些用户可以访问因特网，哪些用户不允许访问因特网。"

　　成员rfurze也提供了一个建议，允许来宾对因特网进行访问同时可以保证公司局域网的安全性："来宾只能在会议室内或者在宾客区中插入指定的连接插入，这些连接可以回连到独立的DMZ区，而DMZ区不在你的正常的网络之中。如果他们不需要登录到你的网络，而仅仅只需要访问因特网的话，那么风险会小很多，而且由于他们在DMZ区的独立网络中，你也不需要做太多的工作。我建议，在他们插入连接之前，最好有一个策略，并且应该有一个培训过程，教会他们如何进入和退出。"