禁止移动设备接入、移动终端禁止接入网络、wifi怎么禁止他人接入的方法

作者：洞察眼   日期：2023.5.22

  当前，通过移动设备连接wifi进行办公的现象越来越普遍，很多单位也都组建了无线局域网，便于大家通过移动设备开展工作。这虽然方便了大家通过移动设备办公，但也由此引发了网络安全问题，使得各种移动设备，尤其是与工作无关的移动设备也可以轻松接入公司局域网，通过公司局域网无线wifi进行上网、访问网络资源等行为。   不仅是公司的内部员工，外来人员也可以轻松通过手机、平板电脑等移动设备连接到公司无线局域网，获得免费上网冲浪，甚至访问局域网共享文件的权限，从而给单位网络安全造成了巨大安全隐患。因此，必须采取有效的举措来禁止移动设备接入，实现wifi禁止他人接入，控制移动终端随意接入网络。   公司局域网如何禁止移动设备接入，实现移动终端禁止接入网络呢？可以通过以下两种举措：   方法一、通过路由器、防火墙或者交换机来实现移动终端禁止接入网络。   通常的做法是：在路由器、防火墙或者交换机上做IP和MAC地址绑定，只有加入到绑定表内的电脑才可以上网；同时一般还关闭路由器上DHCP服务功能，从而使得外来电脑无法接入到内网上网。如下图所示：

 

 

图：路由器ip和mac地址绑定

  但是，由于路由器、防火墙或者交换机的IP和MAC地址绑定一般是禁止内网的电脑私自更改IP地址或者MAC地址，但是却无法禁止外来电脑接到内网，也就是说外来电脑可以接入到内网访问内网共享资源，并且还可以上网，从而无法实现对内网共享资源的有效保护；而对于单位内部电脑，虽然更改IP或MAC地址可以防止电脑上网，但是仍旧无法阻止电脑访问局域网其他电脑或服务器，从而无法实现有效的局域网安全管理和商业机密的保护。   同时，一些单位还常常需要开启路由器等设备的DHCP服务功能，从而可以更加便利了外来电脑接入到内网；此外，很多单位是采用无线局域网上网，外来笔记本可以轻松获取IP地址进行上网，即便设置了密钥，但一般情况下也碍于情面，不可能拒绝外来用户的上网行为；   而对局域网ARP攻击、ARP欺骗虽然可以通过在路由器上做IP和MAC绑定或者开启ARP攻击防御功能，但是实际上有效防御ARP攻击还必须在员工电脑做绑定，也即双向绑定，由于这个工作量较大而常常使得网管望而却步。同时，当前流行的ARP；而对于局域网内处于混杂模式的网卡，可能运行的一些黑客软件、嗅探软件或抓包软件，则网管员通常无法及时发现，同时也无法阻断，这使得企事业单位面临着巨大的商业机密泄露的风险和信息安全的风险。   方法二、通过一些网络准入控制系统、网络终端接入控制软件来实现。   鉴于通过路由器控制移动终端接入的不足，可以考虑通过一些网络准入控制软件来实现。目前国内有很多架构的网络准入控制系统，但基本分为B/S架构和C/S架构两种，前者不需要安装客户端软件，后者需要安装管理端和客户端。具体如何选择呢？   笔者以为，首先要考虑单位的实际需要，然后是系统的便捷性、易用性，以及系统的成本支出等方面。同时，经过笔者多年的实践，发现B/S架构的网络准入控制系统基本可以满足用户的需要，可以避免每台电脑都要安装客户端软件的麻烦，更为便捷和易用。   例如有一款“洞察眼网络准入控制系统”（下载地址：http://www.dongchayan.com/wailaidiannaokongzhi.html），基于B/S架构，只需要在局域网一台电脑安装部署之后就可以实时监测局域网移动终端接入情况，可以有效禁止外来笔记本电脑、平板电脑和手机等移动设备接入，防止随意访问局域网共享或随意上网的行为。同时，还可以实现IP和MAC地址绑定，禁止修改IP地址、禁止修改MAC地址的行为，还可以防范ARP攻击行为。此外，还可以禁止无线路由器接入局域网、禁止局域网代理上网等，有效阻止各种网络接入行为，如下图所示：

 

 

 

图：洞察眼网络接入控制系统

总之，公司局域网实现移动终端禁止接入、禁止移动终端接入无线wifi，一方面可以通过路由器、防火墙或者交换机等网络设备实现，另一方面也可以借助一些专门的移动终端接入软件，具体采用何种方法，可以根据自己的需要进行抉择。