防止非授权上网

vet_wangys · 发表于 2010-4-24 10:31:35

我们公司原来上网控制是MAC+IP绑定，快一年下来了，都没什么问题。今天发现有一个新来的员工，没有上网的权限，竟然把MAC和IP改成有上网权限的IP和MAC竟然有上网权限了！
那么我请问一下各位如果我没有办法去限制别人去更改IP和MAC地址的话我该怎么控制。我用的是ROS
我也想过用MAC+IP+PPPOE进行限制，就是在原有的基础上加了一个用户名和密码控制。但是现在查看PPPOE的密码软件这么多，我估计还是没用的。你们有没有什么好的上网权限控制方法

nxxse · 发表于 2010-4-24 10:47:39

此员工“段数”比较高，无伤大雅的话就让他上网好了；还以为ROS绑定限制是可以很好解决这个问题的，可否把你限制的办法说一下，看看是到底怎么回事？

sesun · 发表于 2010-4-24 11:05:46

看看交换机有没有绑定mac的功能，，，，，有的话就简单了，，，再不行就打小报告了，，，，下策

vet_wangys · 发表于 2010-4-24 15:57:22

这个员工是新来的，估计有两下子，不过我觉得攻与防的本身就是一种乐趣！
我在ROS里是这样限制的首先将IP与MAC绑定，然后在防火墙里做一个地址例表，可以上网的全部加到例表里去。不可以上网的不加！就这样

vet_wangys · 发表于 2010-4-24 15:58:24

最后的策略就是用域+ISA两者配合看一下

alexhe1213 · 发表于 2010-4-24 18:16:18

如果有条件的话，做下交换机端口和客户机的MAC绑定，应该他就不能上网了

你的日子 · 发表于 2010-4-25 08:01:05

呵呵，这问题搞定了没

nxxse · 发表于 2010-4-25 11:43:39

这个员工是新来的，估计有两下子，不过我觉得攻与防的本身就是一种乐趣！
我在ROS里是这样限制的首先将IP与MAC绑定，然后在防火墙里做一个地址例表，可以上网的全部加到例表里去。不可以上网的不加！就这样
vet_wangys 发表于 2010-4-24 15:57

他应该十分了解网络中的薄弱环节，你是管理员，要限制他上网还是占尽优势的，只是有时候可能不值得花那么多时间去做罢了！如果你交换机支持管理的话，就在他使用的那个端口上限制好了！

防止非授权上网

浏览过的版块