杜绝非法用户从内部连接到公司网络

　　非法用户登陆到公司网络一般有连种途径，一是通过外部网络，如通过防火墙漏洞或者VPN漏洞等等。第二就是通过内部进行非法连接。一般来说，通过内部非法连接更加的简单，危害也更加的大。但是，相对来说，防治起来也更加的简单。下面笔者就结合一些具体的案例，来谈谈如何防止非法用户从惬意内部连接到公司网络。

　　一、管理好你的无线网络。

　　无线网络作为网络的重要辅助部分，在企业的网络组建中，具有不可小视的作用。但是，对于无线网络管理不当，也会给企业网络安全造成很多不必要的困扰。

　　为无线路由器设置密码如笔者以前在一个工业区里上班，笔者办公室离另外一家企业的会议室只隔了一个小弄堂，大概5M左右的距离。而他们办公室中刚好有部署了一个无线由器。有时候，我们利用笔记本的无线网卡的时候，往往会不经意的搜索到他们的无线网络。最可惜的时候，他们的无线网络还尽然不设置密码。这导致有些有无线网卡的员工经常问我，怎么他们的网络来时登陆到别人公司的网络中去。没办法，我这次只好当了一回黑客，轻松的登陆到他们的网络，并在他们的文件服务器上，留下了我的声音，提醒他们的网络管理员管理好他们的无线网络，不然造成损失的话，他们要自负。没过多久，他们也就设置了无线网络的密码。其实，这个情况已经由来好久，我相信很多公司的员工也遇到过类似的情况。在不小心登陆到他们的网络中后，我是不能够他们是否对这家公司的网络产生什么影响。如是否查看了他们公司的重要文件，等等。不过据我所知，他们公司网络邻居上照片很多，我们很多男同事茶余饭后就会拿他们的照片开刷。

　　可见，若无限线网络管理的不好的话，则会给企业带来比较大的损失。为此，对于无线网络，笔者有如下的：

　　1、为无线网络配置好连接密码。无线网络默认情况下，是没有连接密码的。也就是说，通过无线网络访问网络的时候，不需要通过用户名与密码。这对于企业的员工来说，确实方便，使用起来跟网络差不多，除了速度或者稳定性有一定的影响之外，跟网络一样的方便。但是，由于没有用户名或者密码，则任何一个用户，如企业无线由器旁边的非公司员工，都可以登陆到企业的网络。以前我还听到过，一家公司旁边的一家住户，就利用公司的无线网络免费上了好几年的网。由于没有设置无线网络的连接密码，这就给了很多人有机可乘。利用公司的无线网络免费上网是小事情，若他们利用这干一些的事情，如删除一些共享文件，泄露公司的信息，则给企业带来的损失就更大了。更有甚者，可能会在企业的网络内散发一些木马或者病毒，来窃取公司用户的邮件、QQ等账号或者密码，甚至网上银行的帐号与密码，那损失可是不可估量了。

　　2、对无线网络进行IP地址与MAC地址的绑定。有时候，若用户反映每次利用无线网络连接的话，输入密码比较麻烦，则企业可以采用无线由器的MAC地址绑定功能。一般来说，现在的无线由器基本上都带有MAC地址绑定功能。利用这个功能，可以有效的避免非公司员工的电脑主机登陆到公司网络上。只是这个功能设置起来比较麻烦。要使用Mac地址来过滤上网用户的话，则网络管理员首先需要把公司所有可能用到无线网络的主机的MAC地址都找出来，然后一一输入到无线由器上。此时，非公司的用户，由于其主机的MAC地址没有在无线由器上，则其不能够连接到企业的网络中，即使有无线由器的信号也不行。但是，很明显，收集各个用户的MAC地址信息并把他们一一的输入到无线由器中，工作量比较大，虽然可以通过一定的技术手段实现成批导入，仍然比较麻烦。而且，这个MAC地址表需要根据企业网卡数量的增减而及时进行变化，也无疑增加了工作量。所以，一般情况下，能够利用密码来控制无线网络的连接，就利用密码，而不要使用MAC地址来过滤。

　　二、管理好你的备用网络。

　　有时候，网络由于受到地理的，当然没有网络那样被人盗连。但是，在一些企业中，仍然存在一些管理漏洞，使得非法用户轻松的利用网络登陆到企业的局域网中。

　　如一些企业都会在会客室或者会议室部署一些网络端口，当客户或者供应商前来拜访时，就可以利用这些网络接口上网。但是，基本上没有对这些端口进行一些网络访问权限的控制。如这些网络的端口跟其他网络端口都有同等的网络访问。

　　如笔者有一位朋友，就受到过类似的教训。他是一家培训企业的网络管理员，一次一个来他们的培训机构咨询相关的事宜，但是，由于他预约的培训有事出去了一会儿，他就在公司的会议室等。而在公司的会议室中，有时会为了开会的方便，有一根网线。一开始，这个也可能不是要存心窃取培训资料，只是等的无聊想上网。就用自带的笔记本在会议室上网，连接到了公司的网络。结果呢，他就复制了公司网络中所有的培训资料。而这些资料一般对培训学生来说，都是保密的。

　　可见，没有管理好你的网络，仍然会给人有机可乘。为此，对于网络端口的管理，从安全性方面出发，笔者有如下的。

　　1、把一些备用的网络接口关掉。有时会，我们处于冗余的考虑，可能会在同一个办公室部署多个网络接口，以备当一个网线出现故障时，能够马上使用另外一个网线。这种网线冗余设计本身是好事情，但是，若管理不当的话，则会成为危害企业信息安全的一大杀手。因为有时我们网络管理员可能比较重视正在使用的网线接口的安全，而忽视了没有使用的网络接口的安全。当来公司拜访的客户或者供应商，随手拿起备用网线来上网时，则麻烦也就来了。所以，从企业的安全方面考虑，冗余网线是必要的，但是，在冗余的网线接口不用的时候，最好把另一端从由器或者交换机上拔掉，或者把对应的端口禁用掉。等到需要用到的时候，再进行开通。

　　2、对客户或者供应商设置一些专门的网络接口，以方便他们上网或者使用公司的打印机。有时会，当客户拜访或者产品检验的时候，他们确实需要访问公司的网络，利用公司网络进行上网或者使用公司的打印机。此时，一味的他们对于公司网络的管理，确实也不是一个可行的方法。对此，笔者的处理方法是，为他们设置一些专门的网络接口。如笔者的企业，在采购部门、质量部门、销售部门设置了线，这线是专门用来给外来人员用的。当然，我在权限上，都做了严格的。如通过由器的访问控制列表，这些网线的端口，只有访问互联网以及公司内部几台网络打印机的。如此的话，他们及时连到公司的内网上，也不能够访问网络内其他主机的共享文件夹，不能够访问公司的文件服务器等等。把他们的权限到最小，从而保障企业内部网络的安全。同时，他们对互联网的访问，也不需要遵守我们的访问访问规则。如我们企业的网络访问规则是不允许员工使用QQ等聊天工具的。但是，客户的验厂人员则需要使用QQ等聊天工具。如此的话，我们可以设置这些专线工具，没有上互联网的。

　　3、在安全性比较高的企业，还可以采用MAC地址绑定等手段，来外来人员采用未经授权的端口。以上这种方法，有个缺陷，其若没有采用我们为其准备的网络接口，而是采用其他员工主机的网络接口，则他们就仍然具有访问企业网络资源的权限。为此，对于安全性级别比较高的企业来说，这仍然是一个非常大的网络安全隐患。为此，我们可以通过一些技术手段，来杜绝这种情况的发生。如我们可以采用MAC地址绑定的方法。如在交换机上，把某些端口跟MAC地址绑定，允许只有特定的MAC地址才能够连接到交换机上，其他的MAC地址不能够连接。而对于某些端口，则没有MAC地址的，如对于一些专门为外来人员准备的网络接口。当然，在这些端口上，要根据端口来设置一些权限，只允许他们无的访问互联网，并且，只允许他们访问网络打印机，而无法网络网络内的其他资源。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。