单位外网的规模不大,几十台机器,除一OA办公及一进销存软件外,没有其它什么关键应用。说白了,只要别掉线、只要速度说的过去,就一切OK。光猫、路由器、交换机、电脑,结构相当的简单。在路由器上作些相关的设置,另外配合我用的网络岗软件,用员工的话说我的设置很BT,基本上都满足需要了。
说到进行上网限制,其实我最初并不想这么做,而且也不是我要想作的,大家明白是谁的主意。我们都是打工的,吃谁的饭跟谁干,很天经地义,只是不失原则就行。老板只问我能不能作到,我说能,你想怎么限制,怎么监控我都能,是要免费的还是要掏钱的,是要完全监控还是作作样子搞个摆设。。。。。。。老板说,那你能作成什么样就作成什么样吧。我说,那好吧,耗子还是怕猫的,药是可以治病的,关键还是在于管理,要是每个人都能老老实实的遵守规定,规规矩矩的上网,哪个网管愿意去做那么多限制,浪费多少脑细胞啊。也真是,公司就2M的光纤,总有那么些人下载电视啊、电影啊,上班偷着玩游戏,玩空间等,以前我睁着眼闭只眼,最多给他们警告说说,估计是有人反映到老板那去了,这不才叫我管制。
费话说了半天,赶紧说说具体的做法:
单位使用的是TPlink的一款企业宽带路由器,带端口镜像,可VPN,我的作法就是通过路由器与网路岗设置上网规则监控上网行为。外网客户通过VPN拨入内网,内网客户端自动获取地址,于是我首先作了个改动:
一、手工指定IP
先是手工登记了全部客户端的MAC地址,并根据部门划分了IP地址段,预留一段IP以防部门加人。而且电脑配置里明确登记这些,使用者与IP对应,主要是方便我对号入座。(PS:如果你电脑多,手工指定麻烦,也可以采用DHCP设置静态地址分配的方法)
公司原来的DHCP自动可以让外来客户也能上网,非常不安全,于是申请了一条宽带又加了个无线路由,客户来必须问我要密码才能上网。
二、设置IP地址过滤和MAC地址过滤
只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网,逃避追查。
只允许所有登记的MAC访问网络,防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC,逃避追查。
三、进行IP与MAC绑定
将路由器的ARP表设置成静态,防止ARP欺骗,客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来,这样还能防止客户端盗用别人的IP上网。
一台客户机的MAC地址在允许访问的列表内,他手工指定了一个原本给别人预留的IP,此IP也在允许访问的IP列表内。但是他还是上不了网,IP与MAC的对应关系不对,路由器会认为他在进行ARP欺骗,阻止他的数据,同时将信息记入日志。
四、在客户机上绑定路由器的IP和MAC信息