在企業(yè)的網(wǎng)絡(luò)內(nèi)部有著很多重要的IT資源,比如:OA服務(wù)器、ERP服務(wù)器等,這些業(yè)務(wù)主機(jī)一旦停止工作或者被攻擊,會(huì)直接影響業(yè)務(wù)的正常運(yùn)行,帶來(lái)重大損失。在有線(xiàn)網(wǎng)絡(luò)的情況下,安全性還是比較可靠的。而現(xiàn)階段絕大部分企業(yè)都提供了無(wú)線(xiàn)上網(wǎng);客戶(hù)機(jī)只要知道了無(wú)線(xiàn)密碼,就可以接入企業(yè)的局域網(wǎng),導(dǎo)致安全隱患。而關(guān)鍵的一點(diǎn)在于你的無(wú)線(xiàn)密碼并不安全:
aircrack等軟件可以對(duì)無(wú)線(xiàn)密碼進(jìn)行暴力破解。
一旦有員工安裝了wifi鑰匙等軟件,你的無(wú)線(xiàn)就等于是公開(kāi)的。
訪(fǎng)客網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)分開(kāi)的方式,并不能阻止訪(fǎng)客連接辦公網(wǎng)絡(luò)。(訪(fǎng)客可以直接詢(xún)問(wèn)密碼,或者通過(guò)wifi鑰匙等軟件接入)
該問(wèn)題的最終解決方案還是在于MAC地址綁定:
只有被允許的mac地址可以接入辦公網(wǎng)絡(luò)。
訪(fǎng)客網(wǎng)絡(luò)處于單獨(dú)的VLAN,不能訪(fǎng)問(wèn)到企業(yè)內(nèi)網(wǎng)。
這樣綁定后,未授權(quán)的設(shè)備(mac地址)即使知道無(wú)線(xiàn)密碼,也無(wú)法接入到辦公無(wú)線(xiàn)。這樣就確保了企業(yè)內(nèi)網(wǎng)的信息安全。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例,一些相關(guān)配置截圖如下:
1) VLAN劃分
辦公網(wǎng)絡(luò)和來(lái)賓網(wǎng)絡(luò)劃分不同的VLAN。
2) IP-mac綁定
登記辦公人員的手機(jī)和電腦,進(jìn)行IP-MAC綁定。
對(duì)辦公網(wǎng)段嚴(yán)格限制,未經(jīng)綁定的設(shè)備既獲取不到IP,也無(wú)法上網(wǎng)。
