如何阻⽌内⽹电脑相互通讯、禁⽌局域⽹电脑之间相互通讯、实现⽹络准⼊控制?
如何阻⽌内⽹电脑相互通讯、禁⽌局域⽹电脑之间相互通讯、实现⽹络准⼊控制?
作者:⼤势⾄⽇期:2014/1/8
在公司局域⽹中,我们常常处于⽹络安全的考虑⽽禁⽌局域⽹电脑相互通讯,或者禁⽌外来电脑加⼊公司局域⽹,禁⽌⾮公司电脑访问公司局域⽹服务器或其他电脑等,同时也需要防⽌外来电脑、员⼯⾃⼰的⼿机、平板电脑接⼊公司局域⽹蹭⽹,从⽽给⽹络安全、信息安全带来较⼤隐患。那么,如何阻⽌外来电脑接⼊公司局域⽹、禁⽌外来电脑⽆线上⽹、甚⾄禁⽌局域⽹电脑相互通讯呢?本⽂提供了两种⽐较有效的⽅法:
⼀、通过局域⽹接⼊管理软件、⽹络准⼊控制系统来实现阻⽌内⽹电脑相互通讯。
⽬前国内有⼀些⽐较专业的局域⽹⽹络准⼊控制系统,例如当前国内知名的“⼤势⾄局域⽹安全卫⼠”(下载地址:百度搜索“⼤势⾄内⽹安全卫⼠”直接下载就可以了)就可以轻松实现控制外来电脑接⼊公司局域⽹的⽬的。通过将“⼤势⾄局域⽹安全卫⼠部署在公司局域⽹任意⼀台电脑上,就可以扫描局域⽹所有电脑、⼿机、平板电脑等,通过⼀种类似于⽩名单的⽅式,可以将公司内部电脑放⼊⽩名单,这样公司内部电脑就可以相互通讯,也可以访问公司⽂件服务器等关键主机;⽽将⼿机、平板电脑或外来笔记本电脑等,
放⼊⿊名单,这样就⽆法与局域⽹电脑相互通讯,同时也⽆法上⽹了。当然,如果你想阻⽌公司局域⽹内部电脑,包括⽩名单的电脑相互通讯的话,则只需要将⽩名单的某个或某些电脑放⼊⿊名单,则即刻⽆法与其他⽩名单的电脑相互通讯,从⽽可以轻松实现禁⽌局域⽹电脑相互通讯的⽬的。⽽通过防⽌外来电脑、⼿机或平板接⼊公司局域⽹,也极⼤地保护了⽹络安全,防⽌蹭⽹等现象的出现。
此外,⼤势⾄局域⽹安全卫⼠还可以检测局域⽹⼿机、平板电脑等,便于⽹管实现精确的管理;可以防⽌局域⽹arp攻击、禁⽌局域⽹电脑启⽤代理上⽹、禁⽌修改局域⽹IP地址、禁⽌修改mac地址、检测局域⽹混杂⽹卡、防⽌局域⽹⽹络嗅探、检测局域⽹⽆线路由器,禁⽌员⼯私⾃安装⽆线路由器的⾏为,防⽌⽹络不当扩展,如下图所⽰:
图:⼤势⾄局域⽹⽹络准⼊控制系统
⼆、通过路由器阻⽌局域⽹电脑相互通讯、防⽌外来电脑接⼊公司局域⽹、禁⽌外来电脑上⽹等。
通过路由器控制公司内部电脑相互通讯,是通过”IP安全策略来实现“,那么什么是“IP 安全策略”呢?
由于在IP协议设计之初并没过多考虑安全问题,因此早期的⽹络中经常发⽣遭受攻击或机密数据被窃取等问题。为了增强⽹络的安全性,IP安全(IPSec)协议应运⽽⽣。Windows 2000/XP/2003操作系统也提供了对IPSec协议的⽀持,这就是我们平常所说的“IPSec安全策略”功能,虽然它提供的功能不是很完善,但只要你合理定制,⼀样能很有效地增强⽹络安全。我们来看微软是怎么解释IPSEC的:IPsec 规则确定 IPsec 必须对哪些类型的通信流进⾏检查;是允许通信流、阻⽌通信流还是协商安全性;如何对 IPSec 对等⽅进⾏⾝份验证;以及其他设置。配置 IPsec 规则时,您可以配置筛选器列表,该列表包含⼀个或多个筛选器、筛选器操作、⾝份验证⽅法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。 IPsec 规则通常是针对特定⽤途(例如,“阻⽌所有从 Internet 到 TCP 端⼝ 13 5 的⼊站通信流”)配置的。
现在我们就来进⾏具体操作,⾸先启动“本地IPSec安全策略”,其实启动“”的⽅式有很多。我呢,就以在Windows XP系统为例,选择⼀种⽅式来启⽤IPSec安全策略功能。
打开“控制⾯板”如下图所⽰:
接着双击“管理⼯具”选项,打开“管理⼯具”窗⼝。如下图所⽰:
再运⾏“本地安全策略”选项,打开“本地安全设置”窗⼝,在此窗⼝中选择“IP安全策略,在本地计算机”选项:
在进⾏实例之前,我们先来探讨⼀下“IPSec安全策略”的组成:
为了增强⽹络通信安全或对客户机器的管理,管理员可以通过在Windows系统中定义IPSec 安全策略来实现。⼀个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报⽂应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报⽂的通过。要新建⼀个IPSec安全策略,⼀般需要新建IP筛选器和筛选器操作。
上⾯这段话⽐较专业,我通俗的说⼀下。我们以⼀个学校来⽐喻⼀台计算机,以学⽣来⽐喻⽹络中的数据流,学校⼤门就相当于⽹卡上的⽹线接⼝。那么⼀条IP安全策略就相当于在学校校门⼝的通⾏制度。只有本校的学⽣或⼯作⼈员可以通过此校门,⽽在未经允许的情况下,外校的同学和社会上的⼈是不允许进⼊学校的。这条通⾏制度是怎么规定的呢,可以通过这样⼀种⽅式来描述。第⼀,通⾏制度所规范的对象是⼈(可以是同学,也可以是社会上的其他⼈);第⼆,对于所规范的对象采取的措施,例如:假使进学校的是同学,则允许通过,⽽假使不是本校的同学,则不允许通过。“IP筛选器”和“筛选器操作”其实就相当于上⾯介绍的两点:前者指定⽹络中的数据流类型,后者指定对此数据流的操作(具体到允许通过还是阻⽌通过)。
现在我们明⽩了“IPSec安全策略”的组成了吧!
接下来我们以⼀具体“IPSec安全策略”应⽤实例来详细操作它。
⽬的:阻⽌局域⽹中IP为“192.168.0.251”的机器访问我的这台机器。
第⼀步:在IP安全策略主窗⼝中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,
进⼊“IP安全策略向导”,
点击“下⼀步”,在“IP安全策略”名称对话框中输⼊该策略的名字“阻⽌251机器与我通信”,如下图所⽰:
点击“下⼀步”,下⾯弹出的对话框中,取消“激活默认响应规则”多选框,点击“下⼀步”
最后点击“完成”按钮。
接下来会弹出⼀对话框,我们先关闭它。现在⼀条“IPSec安全策略”规则已被我们创建,但是现在它还不能使⽤,因为还没有对它进⾏规定,就是说这条规则还只是⼀条空⽩规则,在对它进⾏规则设定之前。我们的过程是先创建所需的规则,然后再把创建的规则应⽤到此策略上。
第⼆步:为该策略创建⼀个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页,
点击下⽅的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输⼊框中输⼊“阻⽌2 51机器策略之数据类型”,
>电脑如何建立局域网
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论