局域网内已经那建了域,如何禁止域外的计算机接入局域网!

2024-12-20 21:20:40
推荐回答(3个)
回答1:

ip + mac 只能保证,局域网内被绑定的设备能够访问internet。非绑定的设备不能访问internet。
但新接入的设备仍能访问局域网内的设备。
1.原理:绑定。就是说一个网络设备,只认他地址列表中绑定了的设备,没绑定的不认。
1.1 若是路由器做的绑定,则路由器只认绑定的电脑,让他们通过路由器去访问。
1.2 若是电脑做的绑定,则该电脑只认绑定的电脑。非绑定的电脑访问不了该电脑。
2.所以,您若在路由器上绑定,也只能限制他们访问外网,内网要限制,必须在每台电脑上做绑定。很麻烦哟。
3.只要新来的设备接入交换机,而且知道该局域网的ip地址段,就能访问该局域网的电脑。
4.最简单的就是,物理限制:不让接网线,不让接交换机、不让接路由器、不让连无线设备。就是工作上要辛苦点。

回答2:

本地连接 ——右键——属性——高级——

回答3:

内部局域网非法接入问题,是目前各大中型企业内网安全所面临的重要问题,如何有效的对接入网络的计算机及网络设备进行监控与管理,是内部局域网能否安全运转的前提。
随着我国信息化的推进和发展,各大中型企业内部网络规模日益庞大,网络应用日益频繁。网络的庞大化和复杂化,导致网络安全风险越来越严重。内网安全已成为各大中型企业用户极为关注的问题。
  对于各企事业单位,如果局域网非法接入问题不能有效的解决,其内部网络则处在一个不可控状态下。任何人员都可以通过网内任意接口接入,盗用合法身份,进行非法活动,而网管人员确无法及时有效的发现和阻断。
  企业网信息系统非法接入问题是复杂而多样的,其复杂性导致了企业信息系统网络接入安全机制的复杂性,本文针对内网非法接入问题,结合实际网络环境、相关网络设备的安全特性、网络安全管理等问题,对大中型企业内部局域网非法接入进行了深入研究。  
各种各样的“局域网”
  在论述大中型企业内部局中域网非法接入问题之前,我们先对文中所提到的一些概念进行解释。
  大中型企业局域网:局域网是将分散在有限地理范围内的多台计算机,通过光纤或双绞线进行网络通信,并与外界物理隔离,仅用于内部办公管理、协同设计、生产流转的应用网络。而大中型企业局域网,是指数据节点在600点以上的企业内部局域网。其网点数量大,用户群构成复杂,网络不易管理。
  虚拟局域网,VLAN是一种将网络设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。 VLAN技术主要应用于交换机和路由器中, VLAN的的优点有三个:(1)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。(2)网络的安全。不同VLAN不能直接通信,杜绝了广播风暴的产生。(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。其中动态VLAN是VLAN中一种基于源 MAC地址,动态的在交换机端口上划分VLAN的方法。
  IEEE 802.1 X:是一种基于用户ID或者设备来进行网络客户端口的身份认证,被称为“基于端口的访问控制协议”。802.1x认证系统由申请者、认证者以及认证服务器组成。
  局域网非法接入:针对大中型企业内部局域网,非法用户通过使用非内网认证计算机,未经授权接入局域网内部,对企业局域网内的信息进行非授权访问。防非法接入系统就是为解决这个问题而进行设计的。
局域网防非法接入的常用技术比较
  企业内部局域网防非法接入技术分两类,一类是基于网络代理服务器的技术,另一类是基于网络层的技术。  
基于代理服务器的技术
  这类技术是指在局域网内部核心服务器群前端,安装接入服务器或接入网关,结合客户端登录认证,实现C/S模式的安全接入认证系统。其实现功能如下:防止基于proxy服务器非法上网;防止基于NAT的代理服务器非法上网;防止通过修改IP和MAC地址非法接入。这种技术可有效的控制非法机器对局域网内重要服务器群的非法访问,但对于企业局域网内部重要客户端机器,则无法进行有效保护。  
基于网络层的防非法接入技术
  这类技术是基于网络互联设备的安全特性来实现的。目前可网管的交换机上基本都具有下述安全机制。  
基于端口绑定的防非法接入技术
  该技术是通过对交换机的物理端口,进行MAC和IP地址绑定设置,有效的控制网内主机对局域网的访问。该技术的优点是对非法接入的控制, 安全高效,缺点是不适合大中型网络的使用,其端口设置固定,客户机无法灵活移动。  
基于IEEE802.1x协议的防非法接入技术
基于IEEE802.1x协议的认证机制,是一种基于用户ID来进行交换机端口通讯的身份认证,被称为“基于端口的访问控制协议”。802.1x认证系统由申请者、认证者以及Radius认证服务器组成。提供基于端口监听的网络接入控制技术,在网络设备的物理接入层对接入设备进行认证和控制。它将网络设备接入端口逻辑上分为可控端口和不可控制端口。根据用户帐号和密码,由认证服务器认证,以决定该端口是否打开,对于非法用户接入或没有用户接入时,则该端口处于关闭状态。接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。当用户断网后,如果需要再次连网,则需要进行二次认证。
   IEEE802.1x身份认证过程如下:
* 终端计算机尝试通过非控制端口连接到网络上。(由于此时终端计算机还没有通过身份验证,因此它无法使用所连接的网络端口)。该被连接的网络设备向申请终端发送一个纯文本质询。
* 作为响应,终端计算机提供自己的身份证明。
* 网络接入设备将来自申请者的身份信息通过网络转发给RADIUS认证服务器。
* RADIUS 服务器对凭证进行验证;如果通过验证,则将身份验证密钥发送给网络接入设备。这个密钥是加密的,因此网络接入设备要对其进行解密。
* 网络接入设备对密钥进行解密,并用它来为申请终端计算机创建一个新的密钥。这个新的密钥将被发送给终端计算机,它被用来加密终端计算机的全局身份验证密钥。
* 定期的,网络接入设备会生成新的全局身份验证密钥,并将其发送给客户端。
  该认证机制,是目前较为流行的一种网络接入认证机制,其优点是:简洁高效、容易实现、应用灵活,是适用于大中型局域网的一种接入认证方式。缺点是:该机制是基于用户及口令的认证,对于大中型局域网来说,网络用户数多,人员复杂,多用户多口令的安全性不能有效得到保证,因此从管理角度来说,口令泄密而导致非法接入用户无法有效控制。
基于动态VLAN的防非法接入技术
  基于动态VLAN的认证机制,这是一种基于源MAC地址,动态地在交换机端口上划分VLAN的方法。它由三部分组成,即VMPS认证服务器、网络交换机、接入客户端。
  其中接入客户端是指连接上网的微型计算机或UNIX工作站等;VMPS认证服务器,由认证服务器、认证数据库组成,进行全网客户机登录认证。
  动态VLAN认证如图3-1所示。其认证过程如下:
* 构建一个VMPS认证服务器,设置认证数据库,输入全网合法机器的物理地址(MAC地址)与其所属VLAN建立一个映射表,做为认证信息。
* VMPS服务器从认证数据库中,下载MAC地址-VLAN的映射表。
* 在网络接入设备上启动VMPS功能,并指定VMPS服务器。
* VMPS服务器会打开一个UDP进程来监听从网络接入设备发来的认证申请。
* 网络接入设备会随时获得从物理端口上来的MAC信息,并将其发往VMPS服务器。
* 当VMPS接到从交换机发来的一个合法请求后,首先是查看映射表中是否有该MAC -VLAN的映射记录。如果有,则把对应的VLAN号发给交换机,交换机物理端口在所属VLAN中正常使用;如果没有,且VMPS处于非安全模式下,则通知交换机将该端口分配到一个指定的独立VLAN中,该VLAN与网内其它网段相互隔离,不能进行网络通讯。如果VMPS处于安全模式下,则通知交换机将连接该MAC的端口关闭,想要重新开启此端口,只有进行手工操作。
  该方案的优点是:易实现、应用灵活、管理高效等,其缺点是:只限于思科公司的各类交换机。
  综上所述,防非接入可以从不同层次来完成,但无论从对现有的设备的改动、多协议的支持、网络安全,还是网络控制能力来看,网络层认证的优势突出,其快速,简单和成本低廉是它的优势。多数网络层认证像IEEE802.1x或动态VLAN认证技术,客户在认证之前不需要进行服务器的定位,不需要获得IP地址。网络接入设备只需要有限的3层功能,可以轻易实现和Radius或vmps服务器的结合,从而提供丰富、灵活的认证方式。在多协议网络环境中,基于网络层的认证可以实现对上层应用的完全透明,也就是说可以实现和新的网络层协议的兼容。网络层认证处理减小了认证包处理的延时,保证了关键性应用的服务质量。
大中型企业内网防非法接入系统的应用
  大中型企业内部局域网是一个完全独立于Internet网的局域网。对于这样的局域网,来自Internet的攻击危害较小,其安全威胁来自于网络内部。最主要的是不明身份人员,擅自连接到局域网内,窃取企业内部信息,造成网内信息泄密。  
  随着基于以太业务应用的日益广泛,迫切需要一种能适应以太网多业务承载需求,且兼顾以太接入灵活性和扩展性好的特点,并能确保以太网接入安全性、支持网络管理员对接入用户进行控制和管理的接入认证技术.   
  以太技术和接入认证技术的结合要求网络接入控制完成以下功能:
  1、网络的接入控制与网络提供的业务类型无关,采用一个通用的接入认证解决方案。
  2、网络接入要求对用户身份进行严格的控制和管理,包括控制用户对网络的访问,用户身份识别。
  3、对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游。
系统组成
  内网防非接入系统如图5-1所示,该系统由三部分组成,网络认证服务器、网络接入设备、网络客户机。  
  网络接入设备是内网防非法接入系统的核心,所有参加安全接入认证的网络设备需具备网络安全特性,也就是在其端口上,可以实现端口-IP-MAC的绑定、802.1x认证或动态VLAN认证。 
  网络认证服务器上运行着防非接入认证系统及认证数据库系统,它为全网提供网络安全接入认证服务。为所有网络用户提供接入凭证。  
  网络客户机,是指全网内通过网络设备进行网络连接的网络客户端系统,可以是windows或linux系统的微型计算机或UNIX系统的工作站以及其它相关的网络设备等。网络客户机的网络登录凭证可以是其网卡的物理地址或是基于用户和口令的认证。
* 网络接入客户机连接上网后,以网卡地址或用户口令作为入网认证凭证;
* 网络接入设备接收到客户机上网信息后,向网络认证服务器转交客户机认证凭证;
* 网络认证服务器随时监听来自网络设备的认证申请信息;
* 接收到认证信息后,通过查询认证数据库,以确认网络客户机身份的合法性,并将日志记录到数据库中以备查询;
* 认证服务器对认证申请进行认证后,
> 如果通过认证,则认证服务器向网络接入设备发布允许上网策略,即允许网络设备的物理端口打开,客户机可正常上网;
> 如果认证未通过,则认证服务器向网络设备发布禁止上网策略,即关闭网络设备的物理端口或将该端口分配到指定的虚拟网中,以备网管人员进行监控和管理。
内网防非接入系统的工作流程。
  企业内部局域网防非法接入问题是各企业网络安全体系的门户系统,如同给我们的大门安装了一个门控,通过对接入设备进行认证,可对网络接入用户进行有效的监控和管理。配合内网审计系统、内网防病毒体系、内网补丁升级系统、漏洞扫描、入侵检测、重要安全域保护等相关网络安全技术,构成局域网全面网络安全防护体系。
  企业局域网网络安全建设是一个长期、复杂、动态的系统工程。网络安全建设需要根据各种因素的变化制定更详细的安全实施方案,以确保网络系统建设和全生命周期的安全。