现在很多公司为了提高公司员工的工作效率,对公司员工的上网权限做了严格的管控。只允许部分电脑可以访问公网,其它电脑不能访问公网。常见实现这种效果的做法有:
1、通过网关设备上的分组管理权限来管控电脑访问外网的权限。
优点:灵活、方便,需要让某台电脑上网或者禁止上网只要把相应电脑添加到不同权限的分组就可以。
缺点:不够彻底。因为网关中的分组是通过IP MAC绑定的方式,来确定电脑进行管控的,如果有电脑私自克隆的可以上网电脑的MAC并修改成相应电脑的IP,那么这台电脑就可以上网了。并且这种方式不能管控二级路由下的每一个电脑终端。
2、通过三层交换机对每交换机一个端口进行设置。有的端口可以上网,有的端口不能上网。插在可以上网的端口就可以上网,插在不能上网的电脑上不能上网。
优点:封堵的够彻底。底下电脑私改IP MAC也不能够获得上网权限。
缺点:不够灵活,电脑上网权限每次更改都要跑的机房去拔线费时费力。同样二级路由器、交换机下的电脑不能做管控。权限只有“通过”与“阻塞”两种,不能细分到具体应用。
宁波市镇海三元机械厂以生产各类电机轴为主,产品远销日本、欧美等地。他们在不断提高公司信息化建设的同时也面临了同样的问题。通过三层交换机的方式保证内网不同电脑的上网权限,公司网管小叶为此要经常来往于自己的办公室和机房之间,并且公司内网有个办公室墙壁上只有一个网线插口,而办公室有三台电脑,他们通过自接交换机共享上网,但是三人的上网权限又是不同的,其中有一人的电脑不允许上网,这可把小叶难住了。正好赶上三元机械厂网络改造,为其公司实施网络改造的宁波锦浩公司给他们推荐的了免疫网络解决方案,并通过免疫墙路由器NuR8115M进行部署实现。
免疫网络解决方案是一套由软硬件、内网安全协议、安全协议构成的完整组件。免疫网络通过网络接入部分、网络终端、网络通讯过程的联动控制保证杜绝内网各种网络攻击,保证网络稳定。
通过安装在终端上的免疫驱动实现了基因式的终端身份管理(RHIC):通过对终端真实IP、物理MAC以及免疫封装,对每一台终端进行严格的基因式身份管理。彻底解决私改IP上网,二级路由下的终端侦测和管理、IP-MAC完全克隆的问题。
免疫策略从网络接入部分、终端进行联动安全防护,有效抑制内网病毒攻击(ITP):对已知攻击验证有效的种类:ARP欺骗、ARP洪水、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDOS攻击,超大ping包、格式错误数据、发包频率超标等等。
精细化带宽管理(BCE):可对内、外网的上、下载带宽分别管理,允许从终端驱动和网关两部分进行操作。这是基于真实身份、从终端网卡底层进行的带宽管理,不同于以IP身份、上传到路由再进行管理的普通方案。交换机上的数据流量也得到有效控制,避免在内网里存在访问瓶颈。
▲欣全向免疫网络解决方案
通过方案的部署,三元公司严格管控内网电脑上网权限的问题得到了根本的解决。并且通过精细化的带宽管理,有效的提高了公司的网络速率。公司网管小叶对方案也很满意:“有了这套方案,我以后管理公司网络方便多了!”