文章摘要:在公司局域网中,我们常常处于网络安全的考虑而禁止局域网电脑相互通讯,或者禁止外来电脑加入公司局域网,禁止非公司电脑访问公司局域网服务器或其他电脑等,同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网,从而给网络安全、信息安全带来较大隐患。那么,如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢?本文提供了两种比较有效的方法:一、通过局域网接入管理软件
在公司局域网中,我们常常处于网络安全的考虑而禁止局域网电脑相互通讯,或者禁止外来电脑加入公司局域网,禁止非公司电脑访问公司局域网服务器或其他电脑等,同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网,从而给网络安全、信息安全带来较大隐患。那么,如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢?本文提供了两种比较有效的方法: 一、通过局域网接入管理软件、网络准入控制系统来实现。 目前国内有一些比较专业的局域网网络准入控制系统,例如当前国内知名的“洞察眼局域网安全卫士”(下载地址:http://www.dongchayan.com/wailaidiannaokongzhi.html)就可以轻松实现控制外来电脑接入公司局域网的目的。通过将“洞察眼局域网安全卫士部署在公司局域网任意一台电脑上,就可以扫描局域网所有电脑、手机、平板电脑等,通过一种类似于白名单的方式,可以将公司内部电脑放入白名单,这样公司内部电脑就可以相互通讯,也可以访问公司文件服务器等关键主机;而将手机、平板电脑或外来笔记本电脑等,放入黑名单,这样就无法与局域网电脑相互通讯,同时也无法上网了。当然,如果你想阻止公司局域网内部电脑,包括白名单的电脑相互通讯的话,则只需要将白名单的某个或某些电脑放入黑名单,则即刻无法与其他白名单的电脑相互通讯,从而可以轻松实现禁止局域网电脑相互通讯的目的。而通过防止外来电脑、手机或平板接入公司局域网,也极大地保护了网络安全,防止蹭网等现象的出现。 此外,洞察眼局域网安全卫士还可以检测局域网手机、平板电脑等,便于网管实现精确的管理;可以防止局域网arp攻击、禁止局域网电脑启用代理上网、禁止修改局域网IP地址、禁止修改mac地址、检测局域网混杂网卡、防止局域网网络嗅探、检测局域网无线路由器,禁止员工私自安装无线路由器的行为,防止网络不当扩展,如下图所示:
图:洞察眼局域网网络准入控制系统
二、通过路由器阻止局域网电脑相互通讯、防止外来电脑接入公司局域网、禁止外来电脑上网等。
通过路由器控制公司内部电脑相互通讯,是通过”IP安全策略来实现“,那么什么是“IP安全策略”呢?
由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的“IPSec安全策略”功能,虽然它提供的功能不是很完善,但只要你合理定制,一样能很有效地增强网络安全。我们来看微软是怎么解释IPSEC的:IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查;是允许通信流、阻止通信流还是协商安全性;如何对 IPSec 对等方进行身份验证;以及其他设置。配置 IPsec 规则时,您可以配置筛选器列表,该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式(传输模式或隧道模式)。 IPsec 规则通常是针对特定用途(例如,“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”)配置的。
现在我们就来进行具体操作,首先启动“本地IPSec安全策略”,其实启动“”的方式有很多。我呢,就以在Windows XP系统为例,选择一种方式来启用IPSec安全策略功能。
打开“控制面板”如下图所示:
接着双击“管理工具”选项,打开“管理工具”窗口。如下图所示:
再运行“本地安全策略”选项,打开“本地安全设置”窗口,在此窗口中选择“IP安全策略,在本地计算机”选项:
在进行实例之前,我们先来探讨一下“IPSec安全策略”的组成: 为了增强网络通信安全或对客户机器的管理,管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。
上面这段话比较专业,我通俗的说一下。我们以一个学校来比喻一台计算机,以学生来比喻网络中的数据流,学校大门就相当于网卡上的网线接口。那么一条IP安全策略就相当于在学校校门口的通行制度。只有本校的学生或工作人员可以通过此校门,而在未经允许的情况下,外校的同学和社会上的人是不允许进入学校的。这条通行制度是怎么规定的呢,可以通过这样一种方式来描述。第一,通行制度所规范的对象是人(可以是同学,也可以是社会上的其他人);第二,对于所规范的对象采取的措施,例如:假使进学校的是同学,则允许通过,而假使不是本校的同学,则不允许通过。“IP筛选器”和“筛选器操作”其实就相当于上面介绍的两点:前者指定网络中的数据流类型,后者指定对此数据流的操作(具体到允许通过还是阻止通过)。
现在我们明白了“IPSec安全策略”的组成了吧!
接下来我们以一具体“IPSec安全策略”应用实例来详细操作它。
目的:阻止局域网中IP为“192.168.0.251”的机器访问我的这台机器。
较早步:在IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,
进入“IP安全策略向导”,
点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字“阻止251机器与我通信”,如下图所示:
点击“下一步”,下面弹出的对话框中,取消“激活默认响应规则”多选框,点击“下一步”
较后点击“完成”按钮。
接下来会弹出一对话框,我们先关闭它。现在一条“IPSec安全策略”规则已被我们创建,但是现在它还不能使用,因为还没有对它进行规定,就是说这条规则还只是一条空白规则,在对它进行规则设定之前。我们的过程是先创建所需的规则,然后再把创建的规则应用到此策略上。
第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页,
点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“阻止251机器策略之数据类型”,
点击“添加”,进入“IP筛选器向导”窗口,
点击“下一步”,在“源地址”下拉列表框中选择“我的IP地址”,
点击“下一步”后,在“目标地址”下拉列表框中选择“一个特定IP地址”,然后输入该计算机的IP地址和子网掩码,如“192.168.0.251”。
点击“下一步”,接着在“选择协议类型”中选择“任意”协议:
点击“下一步”,
然后单击“完成”结束第二步。
第三步:新建一个阻止操作。切换到“管理筛选器操作”标签页,
点击“添加”按钮,进入到“新筛选器操作属性”对话框,
点击“阻止”单选按钮。再切换到“常规”选项卡:
给这个操作起一个名字,如“阻止251机器策略之管理”,点击“确定”,就完成了“IP安全筛选器操作”的添加工作。
第四步,把第二步和第三步所创建的规则应用到较早步的“IPSec安全策略”上,先右击“阻止251机器与我通信”IP安全策略规则。单击“属性”:
打开“阻止251机器与我通信属性”对话框:
单击“添加”,弹出“新规则 属性”对话框,切换到“IP 筛选框列表”选项卡。选中“阻止251机器策略之数据类型”(就是第二步我们所创建的),
在切换到“筛选器操作”,选中第三步创建的“阻止251机器策略之管理”规则。
单击“确定”,在“IP安全规则”中,我们可以看到刚刚创建的规则,选中该规则前的复选框:
单击“确定”,这样,所有的操作都已完毕。
我们来测试一下,右击上面创建的“阻止251机器与我通信”IP安全策略,点击“指派”:
当然首先得确保局域网中有一台电脑网址为“192.168.0.251”,打开“运行”输入框,输入“cmd”,打开“命令提示符”窗口,然后输入命令:ping 192.168.0.251
我们看出,测试成功。
补充:Windows系统的IPSec安全策略也存在不足,一台机器同时只能有一个策略被指派。
/
