如何禁止局域网电脑代理上网?
在企业的网络管理中,网络管理员处于网络安全的需要,有时候会禁止局域网某些电脑访问公司内部服务器的关键资源,而这一般是通过分配不同IP的上网权限来实现的。但是这样的管理弊端也很明显,因为访问者可能会趁着允许访问的IP的电脑关机的情况下更改自己的IP为允许访问的IP列表里面的某一个IP来实现对服务器关键资源的访问。所以,通过IP来实现对关键资源的保护就十分脆弱。不过,更常见的方式是:不允许访问的IP会通过允许访问的IP来实现代理上网,这样也就可以实现对局域网服务器关键资源的访问了。所以,对局域网的IP地址进行有效的管理就成为网络安全管理的重要内容了。
首先,针对局域网的电脑可以私自更改自己的IP的情况,我们可以通过IP和MAC绑定来实现,这个一般可以通过路由器、交换机或者防火墙来实现。但是考虑到国内90%以上的企业都是中小型企业,网络设备诸如交换机、路由器和防火墙一般没有这个功能,所以进行IP和MAC绑定就较为困难。目前,国内有很多上网行为管理软件一般都有这个功能。我们以大势至(北京)软件工程有限公司的聚生网管系统(官方网址:http://www.grabsun.com/)为例。在聚生网管的左侧的“网络安全”管理这里点击“启用IP和MAC绑定功能”,然后就可以点击左侧“获取IP和MAC对应表”,这样,就可以获取了局域网内的电脑的IP和MAC的对应关系,点击“保存配置”就可以进行绑定了。这样,如果局域网的客户端私自更改了自己的IP,聚生网管就可以实时探测到,并且可以发送警告信息,告知客户端必须将自己的IP更改回来才可以上网,否则被控制的电脑就无法上网,这样上网者就被迫将IP地址更改成管理员当时设定的IP地址;同时,聚生网管也支持手工修改IP和MAC绑定关系,并且支持自动获取新主机的IP和MAC对应关系,并自动进行绑定,这样局域网的电脑在陆续开机的情况下,就会被自动绑定,这样整个局域网的IP和MAC对应关系就被绑定了,从而使得在局域网禁止私自修改IP地址的行为,保护了局域网的安全。
其次,聚生网管系统还提供了局域网主机禁止通过代理上网的功能。在聚生网管的策略设置那里,我们可以创建一个策略。在编辑策略的时候,我们可以将“网络限制”里面“禁止局域网的电脑启动代理上网”的功能勾选上,这样局域网的电脑就无法通过代理上网了,从而杜绝了局域网的某些不被允许上网的电脑企图通过代理上网的行为,维护了网络安全。同时,在这里你可以勾选“禁止局域网内的电脑充当代理”,这样,局域网有特定上网权限的电脑就无法给其他电脑提供代理上网的功能,从而从源头上强化了网络安全。
最后,聚生网管还提供了一个禁止访问局域网共享资源的功能。这样,如果外部的电脑私自接入了局域网之后也无法访问局域网的关键资源,除非得到管理员的许可,从而在很大程度上防止了不法分子私自访问局域网共享资源或者关键资料的行为,保护了企业的经营安全。