iT邦幫忙

0

IT管理問題 鎖IP

yabbe 2014-09-05 11:42:0312286 瀏覽
  • 分享至 

  • xImage

我們公司是傳統產業,100多台電腦,沒導入AD,公司的電腦都是固定IP 先前公司用新軟的防火牆可以讓我用IP鎖MAC,因為公司有限定只有一些人能上網所以我需要用IP鎖MAC,防止一些使用者偷改IP想上網,最近公司換了Forigate 80C,Forigate 80C預設沒有鎖MAC,需要用文字模式去設定,非常麻煩(公司各部門電腦有時候會調配調度)
沒AD 我沒辦法鎖住電腦的網路連線 讓使用者不異動IP
我現在想到的是買網管型的SWITCH 但一台要7000多 重點是有VLAN XXX 很多功能 真用不太到
其實我只想IP鎖MAC,因為我們網路線延伸出去再接其他其他SWITCH後又有多台電腦

其實公司是傳統產業 大部分使用者都安份守己 只有少部分使用者在搞鬼
麻煩各位先知們能提供意見
如果要買SWITCH 可以介紹一下品牌嗎 目前看到
zyxel GS1900-24E_v1_ed1
DLINK DGS-1210-28 24
感謝各位

CalvinKuo iT邦大師 7 級 ‧ 2014-09-05 13:19:28 檢舉
你只要讓限制那些可以上網的電腦的IP速度,不要把WAN吃光光。
其他的IP,要是我不會做全部封鎖阻擋,我會讓他們速度慢的跟撥接一樣快(這樣他們很難試出來那些IP可以上網),這樣還可以搞鬼的話,IP特別挑出來連線數也限制...

沒導入AD,其實很難控管,每個使用者都可安裝軟體,又看不到他們幹嘛。是可以導入資安軟體或資產管理軟體,但也只是輔助...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
16
Ray
iT邦大神 1 級 ‧ 2014-09-05 12:27:19
最佳解答

現在的網卡連 MAC 都可以自己改, 鎖 MAC 擋不了多久...
根本解決之道, 是導入 802.1x 的 Switch 來控管...

cool76 iT邦新手 5 級 ‧ 2014-09-08 13:02:37 檢舉

ray 大大可以更詳細說明多一點嗎,如實際用途上

感謝

Ray iT邦大神 1 級 ‧ 2014-09-12 10:05:50 檢舉

802.1x 最常用在管理 Wifi 和 Ethernet 上面的硬體裝置, 他可以跟企業內的 AD 搭配使用.

在開啟了 802.1x 的網路環境中, 接入網路的設備 (如: 電腦, 手機...等), 預設是不能存取網路資源的 (限制的範圍可以透過 Windows 的 NPS 來設定, 例如: 不能進入公司網路, 或是不能上 Internet, 只能連到某一台特定的伺服器...等等).

但是, 假設這台裝置, 裡面有安裝事先由 AD 發給的數位憑證的話, 那麼他才能夠突破上述的限制, 進行正常的存取 (例如: 全部網路都可用, 或那些可以, 那些不行, 都由 NPS 指定), 如果臨時要切斷某台裝置的存取權, 可以用 NPS 去擋, 或是直接在 AD 上撤銷他的憑證即可.

上面這些動作, 跟他的 IP/MAC 都無關, 而且在機房內設定操作就可以, 不需要去看用戶端.

2
bluesky1213
iT邦新手 3 級 ‧ 2014-09-05 12:01:14

升級韌體吧~

yabbe提到:
Forigate 80C,Forigate 80C

http://www.mobile01.com/topicdetail.php?f=507&t=3786872

6
hon2006
iT邦大師 1 級 ‧ 2014-09-05 15:31:20

Forigate 有內建 proxy 功能

http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Install_advanced/cb_web_proxy.html

想上網的人就規定使用 proxy 才可以上網,比較容易管理

10
mytiny
iT邦超人 1 級 ‧ 2014-09-05 21:35:26

看到版大描述的狀況實在很感慨
公司換裝了FG-80C,買了好東西,卻完全沒買任何技術進來
想想這是我們搞IT的悲哀,技術不見了,設備都是秤斤在賣...
哭
簡單的建議一下用設備的DHCP Server功能外加BYOD功能
完全不用額外花錢,是設備本身就有的功能
提示:請花點時間看一下系統>網路>介面裡的設定
再花點時間看一下用戶與設備>設備>設備定義相關設定
好人做到底,提供一段相關的影片,就知道BYOD功能之強大
https://www.youtube.com/watch?v=4mhIWNl-9dY

同場加註:BYOD不必非用在WiFi,有線網路照樣可用
拍手

0
ak02
iT邦研究生 1 級 ‧ 2014-09-09 09:58:10

這年頭很多人都用手機上網了。

CalvinKuo iT邦大師 7 級 ‧ 2014-09-09 10:05:52 檢舉

但建築物有很多死角,像我們公司裝了強波器也只能保證語音通話訊號...
沒靠窗就沒3G,要不是看的到3G但連很慢...

0
souda
iT邦高手 1 級 ‧ 2014-09-11 10:24:18

既然Fortinet 80C不好管理那就透過VLAN來做,這樣搭配Fortinet 80C簡單輕鬆.

2
ajshen691109
iT邦新手 5 級 ‧ 2014-09-12 04:05:38

用網管硬體旁接在L3吧,才可以完全綁定BYOD, 貴到便宜爲 韓國ipscan 台眾arpscan 統睿NBI, 都可以作好綁定

2
iam666
iT邦新手 5 級 ‧ 2014-09-15 11:34:52

加一台分享器去管就好啦...這台只管這個就好..其他讓fortigate的fortinet 80c去管...簡單處理如何?
剛找了一下..FG 80C的版本在4以下的舊型在DHCP server管理部份沒有介面可直接點選,需要使用指令檔

設備版本5.0以上就有介面可點選了...如果升級可能會把設定檔給清掉,所以需先把相關設定備份好..

0
angel711118
iT邦新手 5 級 ‧ 2014-09-17 00:05:51

我是統睿科技原廠業務,我們公司產品可以做IP綁定,URL紀錄與管制、流量控管...等,如果你有興趣想更一步了解產品,可以聯繫我的Email,Angel@trcore.com.tw,謝謝

我要發表回答

立即登入回答