在企业的网络内部有着很多重要的IT资源,比如:OA服务器、ERP服务器等,这些业务主机一旦停止工作或者被攻击,会直接影响业务的正常运行,带来重大损失。在有线网络的情况下,安全性还是比较可靠的。而现阶段绝大部分企业都提供了无线上网;客户机只要知道了无线密码,就可以接入企业的局域网,导致安全隐患。而关键的一点在于你的无线密码并不安全:
aircrack等软件可以对无线密码进行暴力破解。
一旦有员工安装了wifi钥匙等软件,你的无线就等于是公开的。
访客网络和办公网络分开的方式,并不能阻止访客连接办公网络。(访客可以直接询问密码,或者通过wifi钥匙等软件接入)
该问题的最终解决方案还是在于MAC地址绑定:
只有被允许的mac地址可以接入办公网络。
访客网络处于单独的VLAN,不能访问到企业内网。
这样绑定后,未授权的设备(mac地址)即使知道无线密码,也无法接入到办公无线。这样就确保了企业内网的信息安全。以WSG上网行为管理网关为例,一些相关配置截图如下:
1) VLAN划分
办公网络和来宾网络划分不同的VLAN。
2) IP-mac绑定
登记办公人员的手机和电脑,进行IP-MAC绑定。
对办公网段严格限制,未经绑定的设备既获取不到IP,也无法上网。