如何禁止公局域网外来设备接入？.docVIP

如何禁止公司局域网外来设备接入？ 作者：大势至 日期：2014/1/16 在公司局域网中，我们常常处于网络安全的考虑而禁止局域网电脑相互通讯，或者禁止外来电脑加入公司局域网，禁止非公司电脑访问公司局域网服务器或其他电脑等，同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网，从而给网络安全、信息安全带来较大隐患。那么，如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢？本文提供了两种比较有效的方法：一、通过局域网接入管理软件、网络准入控制系统来实现阻止内网电脑相互通讯。目前国内有一些比较专业的局域网网络准入控制系统，例如当前国内知名的“大势至局域网安全卫士”就可以轻松实现控制外来电脑接入公司局域网的目的。通过将“大势至局域网安全卫士部署在公司局域网任意一台电脑上，就可以扫描局域网所有电脑、手机、平板电脑等，通过一种类似于白名单的方式，可以将公司内部电脑放入白名单，这样公司内部电脑就可以相互通讯，也可以访问公司文件服务器等关键主机；而将手机、平板电脑或外来笔记本电脑等，放入黑名单，这样就无法与局域网电脑相互通讯，同时也无法上网了。当然，如果你想阻止公司局域网内部电脑，包括白名单的电脑相互通讯的话，则只需要将白名单的某个或某些电脑放入黑名单，则即刻无法与其他白名单的电脑相互通讯，从而可以轻松实现禁止局域网电脑相互通讯的目的。而通过防止外来电脑、手机或平板接入公司局域网，也极大地保护了网络安全，防止蹭网等现象的出现。此外，大势至局域网安全卫士还可以检测局域网手机、平板电脑等，便于网管实现精确的管理；可以防止局域网arp攻击、禁止局域网电脑启用代理上网、禁止修改局域网IP地址、禁止修改mac地址、检测局域网混杂网卡、防止局域网网络嗅探、检测局域网无线路由器，禁止员工私自安装无线路由器的行为，防止网络不当扩展，如下图所示： 图：大势至局域网网络准入控制系统? 二、通过路由器阻止局域网电脑相互通讯、防止外来电脑接入公司局域网、禁止外来电脑上网等。 通过路由器控制公司内部电脑相互通讯，是通过”IP安全策略来实现“，那么什么是“IP安全策略”呢？ 由于在IP协议设计之初并没过多考虑安全问题，因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性，IP安全（IPSec）协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持，这就是我们平常所说的“IPSec安全策略”功能，虽然它提供的功能不是很完善，但只要你合理定制，一样能很有效地增强网络安全。我们来看微软是怎么解释IPSEC的：IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。配置 IPsec 规则时，您可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式（传输模式或隧道模式）。 IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。 现在我们就来进行具体操作，首先启动“本地IPSec安全策略”，其实启动“”的方式有很多。我呢，就以在Windows XP系统为例，选择一种方式来启用IPSec安全策略功能。 打开“控制面板”如下图所示： 接着双击“管理工具”选项，打开“管理工具”窗口。如下图所示： 再运行“本地安全策略”选项，打开“本地安全设置”窗口，在此窗口中选择“IP安全策略，在本地计算机”选项： 在进行实例之前，我们先来探讨一下“IPSec安全策略”的组成：为了增强网络通信安全或对客户机器的管理，管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。 上面这段话比较专业，我通俗的说一下。我们以一个学校来比喻一台计算机，以学生来比喻网络中的数据流，学校大门就相当于网卡上的网线接口。那么一条IP安全策略就相当于在学校校门口的通行制度。只有本校的学生或工作人员可以通过此校门，而在未经允许的情况下，外校的同学和社会上的人是不允许进入学校的。这条通行制度是怎么规定的呢，可以通过这样一种方式来描述。第一，通行制度所规范的对象是人（可以是同学，也可以是社会上的其他人）；第二，对于所规范的对象采取的措施，例如：假使进学校的是同学，则允许通过，而假使不是本校的同学，则不允许通过。“IP筛选器”和“筛选器操作”其实就相当于