求教:公司内部组建小范围涉密局域网,要求限制外接设备 MAC 地址,如何做到?

2020-03-27 11:15:36 +08:00
 tushile928

现在出于大量项目的必要需求,公司客观层面规避风险,想在公司搭建小范围局域网内部协作,希望物理隔绝。

目前笔记本已拆除无线网模块,已禁用 USB 大容量,操作系统层面已限制刻录等,不接入外网,上述要求均已做到,但还需要限制外接设备 MAC 地址,求问解决办法?只需要实现功能即可。

PS:已尝试用公司的华为 24 口交换机(带 Console )配置,想搭 DHCP 服务,但好像不支持这种功能(这款交换机不了解,但暂时只有这种)。

2240 次点击
所在节点    问与答
12 条回复
liygfg
2020-03-27 11:29:27 +08:00
交换机上配 ACL 规则过滤源 mac
chinvo
2020-03-27 11:31:45 +08:00
域控 + 支持域策略的交换设备

或者单纯做 mac 白名单

有些交换设备支持 mac 和交换机端口的绑定, 也是一种思路
godall
2020-03-27 15:17:04 +08:00
有用吗?可以修改 mac 地址啊,拔掉一台换一台上去就行了。 域控我自己有账号也控制不住啊。

这个基本上靠管理手段控制——进出安检,不得带设备!
hhyvs111
2020-03-27 15:20:42 +08:00
只允许自己的 mac 地址访问就好了
lshero
2020-03-27 15:32:35 +08:00
单纯从网络层面来说 802.1x+MAC 认证比较合适
但是不上域控,搞那么多
别人把手机插上后选择 USB 共享网络轻松破解
xingzw
2020-03-27 15:36:49 +08:00
用上网行为管理设备,很多时候不是技术问题。通常这种涉密情况下,要对所有接入行为做记录,要有审计记录。
hyshuang2006
2020-03-27 15:44:33 +08:00
另建议
1.数据加密。不要用国产软件,微软自带解决方案即可实现。
2.24 小时监控(不留死角),重点关注下班后人少的时段。
tankren
2020-03-27 15:48:14 +08:00
mac 白名单
fancy111
2020-03-27 15:59:12 +08:00
自带无线网卡,插上,发送到手机。。。 搞定
你再多点限制,我还是有办法。
datocp
2020-03-27 16:49:11 +08:00
公司用了 openwrt 网关和 s5720s,静态路由环境在 openwrt 是抓不到 mac,但 dhcp 也由 openwrt 分发,那就有 mac 和 ip 的对应。在 openwrt 用 iptables 在 forward drop 掉这些源 ip 就可以了。华为交换的弄起来觉得麻烦。
ho121
2020-03-27 18:11:35 +08:00
用虚拟专用网?
docx
2020-03-27 20:52:34 +08:00
我感觉用虚拟专用网,限制仅 127.0.0.1 访问,然后严控虚拟专用网的访问,可能还更实际

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/656702

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX