求教:公司内部组建小范围涉密局域网,要求限制外接设备 MAC 地址,如何做到?
tushile928 · 2020-03-27 11:15:36 +08:00 · 2202 次点击这是一个创建于 1694 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在出于大量项目的必要需求,公司客观层面规避风险,想在公司搭建小范围局域网内部协作,希望物理隔绝。
目前笔记本已拆除无线网模块,已禁用 USB 大容量,操作系统层面已限制刻录等,不接入外网,上述要求均已做到,但还需要限制外接设备 MAC 地址,求问解决办法?只需要实现功能即可。
PS:已尝试用公司的华为 24 口交换机(带 Console )配置,想搭 DHCP 服务,但好像不支持这种功能(这款交换机不了解,但暂时只有这种)。
第 1 条附言 · 2020-03-28 21:09:01 +08:00
谢谢各位,每个回答都仔细了解了一下。我还没解决,了解中。
稍微解释一点:主观层面的人员意识管理,签订协议,审计登记这玩意也做了,但大家都清楚,做的所有的事都是应对审查,作为内部管理还是得把客观物理条件做好,得让领导放心啊。
稍微解释一点:主观层面的人员意识管理,签订协议,审计登记这玩意也做了,但大家都清楚,做的所有的事都是应对审查,作为内部管理还是得把客观物理条件做好,得让领导放心啊。
 |
1
liygfg 2020-03-27 11:29:27 +08:00
交换机上配 ACL 规则过滤源 mac
|
 |
2
chinvo 2020-03-27 11:31:45 +08:00
域控 + 支持域策略的交换设备
或者单纯做 mac 白名单 有些交换设备支持 mac 和交换机端口的绑定, 也是一种思路 |
 |
3
godall 2020-03-27 15:17:04 +08:00
有用吗?可以修改 mac 地址啊,拔掉一台换一台上去就行了。 域控我自己有账号也控制不住啊。
这个基本上靠管理手段控制——进出安检,不得带设备! |
 |
4
hhyvs111 2020-03-27 15:20:42 +08:00
只允许自己的 mac 地址访问就好了
|
 |
5
lshero 2020-03-27 15:32:35 +08:00
单纯从网络层面来说 802.1x+MAC 认证比较合适
但是不上域控,搞那么多 别人把手机插上后选择 USB 共享网络轻松破解 |
 |
6
xingzw 2020-03-27 15:36:49 +08:00
用上网行为管理设备,很多时候不是技术问题。通常这种涉密情况下,要对所有接入行为做记录,要有审计记录。
|
 |
7
hyshuang2006 2020-03-27 15:44:33 +08:00
另建议
1.数据加密。不要用国产软件,微软自带解决方案即可实现。 2.24 小时监控(不留死角),重点关注下班后人少的时段。 |
 |
8
tankren 2020-03-27 15:48:14 +08:00
mac 白名单
|
 |
9
fancy111 2020-03-27 15:59:12 +08:00
自带无线网卡,插上,发送到手机。。。 搞定
你再多点限制,我还是有办法。 |
 |
10
datocp 2020-03-27 16:49:11 +08:00 via Android
公司用了 openwrt 网关和 s5720s,静态路由环境在 openwrt 是抓不到 mac,但 dhcp 也由 openwrt 分发,那就有 mac 和 ip 的对应。在 openwrt 用 iptables 在 forward drop 掉这些源 ip 就可以了。华为交换的弄起来觉得麻烦。
|
 |
11
ho121 2020-03-27 18:11:35 +08:00 via Android
用虚拟专用网?
|
 |
12
docx 2020-03-27 20:52:34 +08:00 via iPhone
我感觉用虚拟专用网,限制仅 127.0.0.1 访问,然后严控虚拟专用网的访问,可能还更实际
|
Select Language