阻止未經核准使用的外部電腦存取內部網路資源,應使用vlan切割,才是有效並正規的方法。
透過vlan切割及dhcp自動配發管理
內部員工desktop使用網段如10.1.x.x /16或/24看人數規模或依照部門切的更細
給來賓、客戶、會議室使用另一個網段如10.2.x.x
再透過Router或L3switch上的ACL/Route policy限制10.2.x.x這個網段可以存取的網段。
要做資安,就不要捨不得花錢(但錢還得花在都口上)
你不會知道,今天來公司的訪客,到底是恩客,還是刺客。
不花錢作法:
花錢作法:
我們家用X-Fort進行網芳控管。不是本公司之電腦都無法使用區網資源。並透過Console掃出未安裝X-Fort Agent設定嚴格規則來處理。
有興趣可看看:http://www.fineart-tech.com/tw/
免錢作法:
我的作法是,開啟dhcp,讓客戶利用網路線插上網路孔時,自行會抓到dhcp所分配的ip和閘道。在將dhcp分配到的ip,利用防火牆給他檔起來,或dhcp分配錯誤的ip及閘道也是可以的。如此一來,客戶無法從有線網路來上往時,就會採用無線網路來上網了!
但是有個缺點:如果客戶知道你們公司網路的網段及預設閘道就破解啦XD。所以要好好保護公司的網路資訊別外流!
花錢作法:買設備喔!如yking7065大大說得設備之一,或硬體式proxy...
現在市面上有一種叫做IPSCAN的硬體裝置,可以讓私接的網路設備無法連線,即使連接者知道公司的網路組態,只要不是該裝置允許的網路設備,都會被阻擋,可以大幅減輕管理人員的負擔,但是目前價位好像還不低,如果公司規模較小,大概就不太划算了。
FYI
VigorSwitch G2240
•可以設定IP綁MAC功能(1K)
•ACL(128條)
•可以發送Port Up/Down的Mail Alarm警示或是SNMP Trap
http://www.ublink.org/products/vigorswitch/vigorswitch_g2240.php
恩IPSCAN有聽過,這個比較適合較大的公司.
其實有很多其他的方案不過大部分都需要錢
沒錢的作法其實參考2樓的建議也不錯!!!