在部署了上網(wǎng)行為管理的局域網(wǎng)內(nèi),總會有人想各種各樣的辦法來突破上網(wǎng)管控。常見的方法有:
-
IP地址盜用。
-
MAC地址克隆。
首先可以考慮不開放管理員權(quán)限,或者采用域控的方式禁止客戶機(jī)自行修改網(wǎng)絡(luò)設(shè)置等辦法。其次也可以通過上網(wǎng)行為管理的管控策略來阻止這些行為。本文中,我來介紹下如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來應(yīng)對IP地址盜用和MAC地址克隆。
如何防止IP地址盜用?
IP地址盜用,有兩種可能:第一種是修改成管控范圍外的IP地址;第二種是修改成局域網(wǎng)內(nèi)其他終端的IP地址。
對于第一種情況,只需要通過防火墻策略,或者行為管理策略,對IP范圍外禁止所有即可。如圖:
盜用現(xiàn)有的IP地址會導(dǎo)致IP地址沖突,很少有人敢公然去做。當(dāng)然,防止盜用現(xiàn)有的IP地址,還可以通過開啟IP-MAC綁定的方式。開啟綁定后,只有IP地址和MAC地址都吻合時(shí),才可以上網(wǎng)。如圖:
只要做了IP-MAC綁定,即使把IP地址修改成局域網(wǎng)內(nèi)其他權(quán)限的IP地址,也是不能上網(wǎng)的。這樣就可以杜絕自行修改IP的行為。
如何防止MAC地址克隆?
MAC地址克隆,基本上也是兩種做法:
1). 修改自己的MAC地址來繞開監(jiān)控。但是大部分的管控策略都是基于IP地址的,修改MAC就沒有用處了。如果要防止修改MAC,只要開啟IP-mac綁定就足夠了。
2). 私接路由器并把路由器的MAC和IP都修改成電腦的MAC和IP。然后用路由器來帶pc機(jī)和手機(jī)等設(shè)備。
第二種情況比第一種要復(fù)雜的多,從上層的上網(wǎng)行為管理和防火墻設(shè)備來看,IP和MAC地址都是合法的,而實(shí)際上卻多了一些私接設(shè)備。這時(shí)候,就需要用到另外的一個(gè)模塊“共享檢測”。如圖:
共享檢測模塊可以檢測出上述的網(wǎng)絡(luò)共享行為,并且可以看到這個(gè)設(shè)備下面的二級終端設(shè)備。如圖:
這樣就可以檢測出私接路由器的行為來。
綜上所述,結(jié)合ip管控、IP-MAC綁定,以及共享檢測,就可以有效管控局域網(wǎng)內(nèi)的“mac地址克隆”和“IP盜用”等違規(guī)行為。
