阻止未經核准使用的外部電腦存取內部網路資源，應使用vlan切割，才是有效並正規的方法。
透過vlan切割及dhcp自動配發管理
內部員工desktop使用網段如10.1.x.x /16或/24看人數規模或依照部門切的更細
給來賓、客戶、會議室使用另一個網段如10.2.x.x
再透過Router或L3switch上的ACL/Route policy限制10.2.x.x這個網段可以存取的網段。
要做資安，就不要捨不得花錢(但錢還得花在都口上)
你不會知道，今天來公司的訪客，到底是恩客，還是刺客。

不花錢作法：

1. 那你就不要用自動發DHCP的方式，只能手動輸入IP。
2. 在櫃台接待小姐那留一組公用無線帳號與密碼，讓外來使用者都用者組。
3. 外賓接待室無任何網路孔，只能夠過無線連上網。

花錢作法：
我們家用X-Fort進行網芳控管。不是本公司之電腦都無法使用區網資源。並透過Console掃出未安裝X-Fort Agent設定嚴格規則來處理。

有興趣可看看：http://www.fineart-tech.com/tw/

免錢作法：
我的作法是，開啟dhcp，讓客戶利用網路線插上網路孔時，自行會抓到dhcp所分配的ip和閘道。在將dhcp分配到的ip，利用防火牆給他檔起來，或dhcp分配錯誤的ip及閘道也是可以的。如此一來，客戶無法從有線網路來上往時，就會採用無線網路來上網了！
但是有個缺點：如果客戶知道你們公司網路的網段及預設閘道就破解啦XD。所以要好好保護公司的網路資訊別外流！

花錢作法：買設備喔！如yking7065大大說得設備之一，或硬體式proxy...

現在市面上有一種叫做IPSCAN的硬體裝置，可以讓私接的網路設備無法連線，即使連接者知道公司的網路組態，只要不是該裝置允許的網路設備，都會被阻擋，可以大幅減輕管理人員的負擔，但是目前價位好像還不低，如果公司規模較小，大概就不太划算了。

FYI

VigorSwitch G2240

•可以設定IP綁MAC功能(1K)
•ACL(128條)
•可以發送Port Up/Down的Mail Alarm警示或是SNMP Trap

http://www.ublink.org/products/vigorswitch/vigorswitch_g2240.php

恩IPSCAN有聽過，這個比較適合較大的公司.
其實有很多其他的方案不過大部分都需要錢
沒錢的作法其實參考2樓的建議也不錯！！！