V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
tushile928
V2EX  ›  问与答

求教:公司内部组建小范围涉密局域网,要求限制外接设备 MAC 地址,如何做到?

  •  
  •   tushile928 · 2020-03-27 11:15:36 +08:00 · 2211 次点击
    这是一个创建于 1705 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在出于大量项目的必要需求,公司客观层面规避风险,想在公司搭建小范围局域网内部协作,希望物理隔绝。

    目前笔记本已拆除无线网模块,已禁用 USB 大容量,操作系统层面已限制刻录等,不接入外网,上述要求均已做到,但还需要限制外接设备 MAC 地址,求问解决办法?只需要实现功能即可。

    PS:已尝试用公司的华为 24 口交换机(带 Console )配置,想搭 DHCP 服务,但好像不支持这种功能(这款交换机不了解,但暂时只有这种)。

    第 1 条附言  ·  2020-03-28 21:09:01 +08:00
    谢谢各位,每个回答都仔细了解了一下。我还没解决,了解中。

    稍微解释一点:主观层面的人员意识管理,签订协议,审计登记这玩意也做了,但大家都清楚,做的所有的事都是应对审查,作为内部管理还是得把客观物理条件做好,得让领导放心啊。
    12 条回复    2020-03-27 20:52:34 +08:00
    liygfg
        1
    liygfg  
       2020-03-27 11:29:27 +08:00
    交换机上配 ACL 规则过滤源 mac
    chinvo
        2
    chinvo  
       2020-03-27 11:31:45 +08:00
    域控 + 支持域策略的交换设备

    或者单纯做 mac 白名单

    有些交换设备支持 mac 和交换机端口的绑定, 也是一种思路
    godall
        3
    godall  
       2020-03-27 15:17:04 +08:00
    有用吗?可以修改 mac 地址啊,拔掉一台换一台上去就行了。 域控我自己有账号也控制不住啊。

    这个基本上靠管理手段控制——进出安检,不得带设备!
    hhyvs111
        4
    hhyvs111  
       2020-03-27 15:20:42 +08:00
    只允许自己的 mac 地址访问就好了
    lshero
        5
    lshero  
       2020-03-27 15:32:35 +08:00
    单纯从网络层面来说 802.1x+MAC 认证比较合适
    但是不上域控,搞那么多
    别人把手机插上后选择 USB 共享网络轻松破解
    xingzw
        6
    xingzw  
       2020-03-27 15:36:49 +08:00
    用上网行为管理设备,很多时候不是技术问题。通常这种涉密情况下,要对所有接入行为做记录,要有审计记录。
    hyshuang2006
        7
    hyshuang2006  
       2020-03-27 15:44:33 +08:00
    另建议
    1.数据加密。不要用国产软件,微软自带解决方案即可实现。
    2.24 小时监控(不留死角),重点关注下班后人少的时段。
    tankren
        8
    tankren  
       2020-03-27 15:48:14 +08:00
    mac 白名单
    fancy111
        9
    fancy111  
       2020-03-27 15:59:12 +08:00
    自带无线网卡,插上,发送到手机。。。 搞定
    你再多点限制,我还是有办法。
    datocp
        10
    datocp  
       2020-03-27 16:49:11 +08:00 via Android
    公司用了 openwrt 网关和 s5720s,静态路由环境在 openwrt 是抓不到 mac,但 dhcp 也由 openwrt 分发,那就有 mac 和 ip 的对应。在 openwrt 用 iptables 在 forward drop 掉这些源 ip 就可以了。华为交换的弄起来觉得麻烦。
    ho121
        11
    ho121  
       2020-03-27 18:11:35 +08:00 via Android
    用虚拟专用网?
    docx
        12
    docx  
       2020-03-27 20:52:34 +08:00 via iPhone
    我感觉用虚拟专用网,限制仅 127.0.0.1 访问,然后严控虚拟专用网的访问,可能还更实际
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5811 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:14 · PVG 11:14 · LAX 19:14 · JFK 22:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.