iT邦幫忙

0

如何讓未加入網域的電腦無法上網

公司內的電腦大部分都加入網域
只有少部分的實驗機台沒加入網域
最近發現有人偷帶個人NB進入公司,大量下載網路上的檔案,造成頻寬吃緊
想請問各位要如何做到"讓未加入網域的電腦無法上網"
公司是用DHCP配發IP的
另外,因為實驗機台也要需要上網,如果讓未加入網域的電腦不能上網
這部份要怎麼解決呢

50
魯大
iT邦高手 1 級 ‧ 2008-12-04 17:02:48
最佳解答

除了使用固定ip的方式或是用L2的Switch直接把MAC Address定義上之外
或許可以試著使用PROXY SERVER
讓每一台要對外的電腦均需要藉由PROXY SERVER進出
然後在PROXY SERVER上設定使用者權限
沒有權限則無法上網
未登入網域,則需額外輸入使用者名稱
這樣就可以直接捉到人啦..
也可以捉到他的MAC
既然有MAC,那就給他鎖起來啦..

部份的人的電腦可以做固定IP(例如:boss...)
其他人可做DHCP
鎖定流量,給每個人適當的流量
上網可以,下載很慢
而固定IP的則可放大一些
如此流量小,相信他們也不會想大費周章,用公司的網路啦..

Basuya iT邦新手 1 級 ‧ 2008-12-05 09:04:00 檢舉

這位大大真是專業,思緒也條理分明,針對問題解決,謝謝您!

魯大 iT邦高手 1 級 ‧ 2008-12-05 11:04:43 檢舉

純粹經驗分享,希望對你有所助益..

28
tom6507
iT邦大師 1 級 ‧ 2008-12-04 12:27:46

長遠來看的話還是建議改成固定IP的方式會比較好,而且不再發放浮動IP,這樣不管是誰偷渡電腦進來,也會因為得不到IP位置而無法使用。

24
門神JanusLin
iT邦超人 1 級 ‧ 2008-12-04 12:47:05

建議也可以用L2的Switch直接把MAC Address定義上
這樣綜使他插上網路線也沒辦法Access

king903 iT邦新手 5 級 ‧ 2008-12-04 13:04:29 檢舉

全公司有500多台電腦,沒辦法一台一台定義,偷帶的電腦,也沒辦法知道他的MAC

18
md11boing
iT邦新手 3 級 ‧ 2008-12-04 13:28:08

802.1x,應該符合您的需求

king903 iT邦新手 5 級 ‧ 2008-12-04 15:17:07 檢舉

不懂,可詳細說明嗎?

16
julie8tw
iT邦研究生 4 級 ‧ 2008-12-04 17:45:53

大量下載網路上的檔案,造成頻寬吃緊
--->或許有點答非所問,為何不顯鎖bt之類的東西呢?

king903 iT邦新手 5 級 ‧ 2008-12-04 19:13:11 檢舉

因為公司的防火牆本身就有封鎖P2P軟體

24
jeffweng
iT邦新手 4 級 ‧ 2008-12-05 07:51:05

建議您可以
1.內部網路:使用802.1x port based 驗證,結合憑證與機器驗證,可避免非網域內電腦取得ip
2.外部網路:使用firewall+proxy搭配ntlm身份驗證,所有電腦經由proxy連線至internet,並於firewall只開放proxy可存取http或https的port,如有特殊需求可視情況開放其他所需要的port
3.針對實驗室未加入網域的電腦,建議你使用vlan技術將使用室區的網段與其他辦公室網段切開,真對microsoft的dhcp server上,可設定發放的ip數目,再將實驗室的電腦mac address於dhcp server上的保留區,全部設定成你所設定的ip,如此一來ip的數量已經固定,並且也都已經綁定成現有的實驗室電腦ip,您就不需要擔心外面帶進來的電腦可自動經由dhcp取得ip了!

18
chinlms
iT邦研究生 4 級 ‧ 2008-12-05 09:11:32

個人早期的經驗是使用proxy server,限制需要驗證,這樣一來沒有加入網域的使用者除非知道如何輸入帳號密碼,否則就無法連上網,當然已經輸入帳號密碼就可以順瓜摸藤找到是誰帶不合法設備並取得ip連上線了。

不過由於WINDOWS的PROXY已經是過去式的產品而ISA不確定是否可以達到我們想要的,所以用Cyberom的UTM設備也可以結合WINDOWS的AD,如此一來也可以限制未加入網域的使用者不能上網,而且功能較Proxy強,可以連上都不能上而不是事後再去找誰用的。

20
benson770916
iT邦新手 5 級 ‧ 2008-12-05 10:31:02

其實你只要有DHCP Server一切都好辦,你只要在DHCP上做些設定,
就可以旯成你要的目的了,但事前提是你所加入網域的Client端都需要改成固定IP

在此我把DHCP設定說明清楚一點好了,有就是在DHCP Server上安裝兩張網卡一進一出,
讓Server有一個實體IP可對外,在給Server有一個虛擬IP,可以跟網域內的電腦溝通,
都設定好後再分配某些特定IP可以上網(做好是配發給固定IP的使用者),
這樣大概就完成了一部分。

關鍵字:

<pre class="c" name="code">windows DHCP Server
20
robinchien
iT邦新手 4 級 ‧ 2008-12-05 16:50:44

小弟認為設固定IP應該不可行,因為電腦網路的普行,現在幾乎所有的user都會自己設IP,到時IP相衝的機率會增高,更會讓網管人員頻於奔命,所以小弟是建議用proxy+NAC的方式來管制上網會比較好

18
josephtsai
iT邦新手 4 級 ‧ 2008-12-06 11:29:40

我覺得問題的狀況,不在於有沒有加入網域,而是「大量下載網路上的檔案,造成頻寬吃緊」!

我的經驗是使用MRTG之類的頻寬統計工具,將每一個埠點的網路流量統計出來,然後每日或每週將這份統計報表,往上呈或公告出來。
那這些胡亂下載的人,就消失了。
使用固定IP,加入網域,其實都不能完全解決這些問題,目前的P2P已經到了無需權限的免安裝情況,即使加入網域,鎖好權限,還是可以P2P下載的!根本防不勝防。

我要發表回答

立即登入回答