在企業(yè)的網(wǎng)絡(luò)內(nèi)部有著很多重要的IT資源,比如:OA服務(wù)器、ERP服務(wù)器等,這些業(yè)務(wù)主機一旦停止工作或者被攻擊,會直接影響業(yè)務(wù)的正常運行,帶來重大損失。在有線網(wǎng)絡(luò)的情況下,安全性還是比較可靠的。而現(xiàn)階段絕大部分企業(yè)都提供了無線上網(wǎng);客戶機只要知道了無線密碼,就可以接入企業(yè)的局域網(wǎng),導致安全隱患。而關(guān)鍵的一點在于你的無線密碼并不安全:
aircrack等軟件可以對無線密碼進行暴力破解。
一旦有員工安裝了wifi鑰匙等軟件,你的無線就等于是公開的。
訪客網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)分開的方式,并不能阻止訪客連接辦公網(wǎng)絡(luò)。(訪客可以直接詢問密碼,或者通過wifi鑰匙等軟件接入)
該問題的最終解決方案還是在于MAC地址綁定:
只有被允許的mac地址可以接入辦公網(wǎng)絡(luò)。
訪客網(wǎng)絡(luò)處于單獨的VLAN,不能訪問到企業(yè)內(nèi)網(wǎng)。
這樣綁定后,未授權(quán)的設(shè)備(mac地址)即使知道無線密碼,也無法接入到辦公無線。這樣就確保了企業(yè)內(nèi)網(wǎng)的信息安全。以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例,一些相關(guān)配置截圖如下:
1) VLAN劃分
辦公網(wǎng)絡(luò)和來賓網(wǎng)絡(luò)劃分不同的VLAN。
2) IP-mac綁定
登記辦公人員的手機和電腦,進行IP-MAC綁定。
對辦公網(wǎng)段嚴格限制,未經(jīng)綁定的設(shè)備既獲取不到IP,也無法上網(wǎng)。
