如何对接入局域网的未知设备进行限制呢?
当前,通过各种方式连接办公网络的现象越来越普遍,很多单位为了更方便的拓展工作,内部网络基本不设限制,未知的笔记本、BYOD、网络设备及各种各样的IOT设备直接就可以连到内部局域网中,这些未知设备如若携带病毒,或者来访者心怀不轨想要窃取组织内部信息或者是单纯的“蹭网”占用网络资源。无论是哪种情况都可能给企业带来不必要的经济损失或名誉损失,所以我们一定要重视局域网对于未知终端的接入管控,下边给大家介绍两种解决方案:
一、通过路由器\防火墙\交换机来管控未知终端的接入
通过在路由器\防火墙\交换机上做MAC和IP的绑定,只有加入到绑定列表的终端才能接入到内部局域网中。
优点:只需要路由器\防火墙\交换机具备ARP过滤功能,不需要另外购置设备。
缺点:
1、设置繁琐,需要大量的时间获取MAC,IP信息,才能进行绑定设置。
2、管控不灵活,当网络内部终端更换IP时,终端将被禁止接入内部网络,如要接入,需要重新设置。若有客人临时接入,也需要先获取客人的MAC和IP才能绑定,客人离开后也需要及时修改绑定设置。
3、如遇MAC地址、IP地址盗用,伪装成合法终端则无法拦截。
二、通过终端接入控制设备\终端接入控制系统来管控未知终端的接入
鉴于路由器\防火墙\交换机等设备控制终端未知接入的弊端,也可以考虑一些终端接入控制系统来帮助管理。下面我们以易网捷终端接入控制系统为例分析利弊
优点:
1、无客户端:B/S结构,可实现无客户端准入控制,免去大批量安装客户端过程。
2、旁听模式:旁路部署,不改变用户原有网络结构,将设备对网络的影响轻量化。
3、硬件指纹技术:系统会自动扫描设备IP地址,MAC地址,接入位置,操作系统标识信息进行自动收集并绑定,为每一个设备生成唯一标识,外来终端无法伪装。
4、可视化精准定位:可视化的网络拓扑、环路端口迅速定位。
5、高兼容性:兼容性好,即使老旧、存在非智能网管网络设备的网络环境,也可以部署终端接入系统。
6、高稳定性:7*24小时保证网络中运行,无需在各个子网安装监控代理。
7、同时拥有.1x准入管控方式。
缺点:需要单独购买(RMB支持)。
俗话说的好“黑猫、白猫能抓到老鼠的就是好猫”所以诸位可根据自身情况选择适合自己的管控方式就好。