在局域网内部署上网行为管理的局域网内,总会有人想办法突破上网控制。常见的方法有:
IP地址盗用。MAC地址克隆。首先可以考虑不开放管理员权限,或者禁止客户机通过域控修改网络设置。其次,这些行为也可以通过互联网行为管理的控制策略来阻止。在本文中,我将介绍如何使用它WSG网络行为管理网关应对IP地址盗用和MAC地址克隆。
如何防止IP地址盗用?
IP盗用地址有两种可能性:一是修改到控制范围以外IP地址;二是修改局域网内其他终端IP地址。
对于第一种情况,只需要防火墙策略或行为管理策略IP禁止范围外的一切。如图:
盗用现有的IP地址会导致IP很少有人敢公开做地址冲突。当然,防止盗用现有的IP地址也可以打开IP-MAC绑定。打开绑定后,只有IP地址和MAC只有地址一致,才能上网。如图:
只要做了IP-MAC绑定,即使把IP将地址修改为局域网内其他权限IP地址,也不能上网。这样就可以杜绝自我修改IP的行为。
如何防止MAC地址克隆?
MAC克隆地址基本上有两种方法:
1). 修改自己的MAC绕过监控地址。但大多数控制策略都是基于IP修改地址MAC没用。若要防止修改MAC,只要开启IP-mac绑定就够了。
2). 私接路由器和路由器MAC和IP都修改成电脑MAC和IP。然后用路由器带pc机和手机等设备。
从上网行为管理和防火墙设备来看,第二种情况比第一种复杂得多,IP和MAC地址是合法的,但实际上有更多的私人设备。此时,需要使用另一个模块共享检测。如图:
共享检测模块可以检测到上述网络共享行为,并可以看到该设备下的二级终端设备。如图:
这样就可以检测到私接路由器的行为。
综上所述,结合ip管控、IP-MAC绑定和共享检测可以有效控制局域网中的mac地址克隆IP盗用等违法行为。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。
标签:
评论