在企業的網絡內部有著很多重要的IT資源,比如:OA服務器、ERP服務器等,這些業務主機一旦停止工作或者被攻擊,會直接影響業務的正常運行,帶來重大損失。在有線網絡的情況下,安全性還是比較可靠的。而現階段絕大部分企業都提供了無線上網;客戶機只要知道了無線密碼,就可以接入企業的局域網,導致安全隱患。而關鍵的一點在于你的無線密碼并不安全:
aircrack等軟件可以對無線密碼進行暴力破解。
一旦有員工安裝了wifi鑰匙等軟件,你的無線就等于是公開的。
訪客網絡和辦公網絡分開的方式,并不能阻止訪客連接辦公網絡。(訪客可以直接詢問密碼,或者通過wifi鑰匙等軟件接入)
該問題的最終解決方案還是在于MAC地址綁定:
只有被允許的mac地址可以接入辦公網絡。
訪客網絡處于單獨的VLAN,不能訪問到企業內網。
這樣綁定后,未授權的設備(mac地址)即使知道無線密碼,也無法接入到辦公無線。這樣就確保了企業內網的信息安全。以WSG上網行為管理網關為例,一些相關配置截圖如下:
1) VLAN劃分
辦公網絡和來賓網絡劃分不同的VLAN。
2) IP-mac綁定
登記辦公人員的手機和電腦,進行IP-MAC綁定。
對辦公網段嚴格限制,未經綁定的設備既獲取不到IP,也無法上網。
