扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
问题
"技术问答"部分最近贴出的两篇文章都是在寻找防止未授权系统连接公司网络或者因特网的方法。由于他们所寻找的解决方案非常类似,所以我们决定将问题和解决方案归结在一起来讲解。
TechRepublic的成员 slk1@rcn.com这样问道:"在我的Windows网络上,我应该如何做才能够防止那些使用Macs系统而没有授权的人访问因特网?"
另外,还有一个不同的问题,这是技术团体成员adembo贴出来的:"我正在寻找这样一种解决方案:对于那些使用自己的笔记本的来宾,虽然我们提供了一个可用的端口,但是在不能判断他的笔记本系统上安装有恰当的安全设置和防病毒软件时,我们可以拒绝为其分配DHCP地址。要解决这个问题,我们应该做些什么?我曾经考虑过使用证书服务器,但是我不知道是否这样做能够起作用。用户不需要登录到我们的网络上,所以我不知道如何使用组策略来实现。有什么好办法吗?"
解决方案
最好的解决方案是成员zrabi所提供的方案:"如果你使用Windows 2000(或者是Windows Server 2003)作为DHCP服务器的话,你可以将你的Windows机器作为一个DHCP类。在DHCP服务器上,你可以为该类指定一个网关(路由器)地址。没有DHCP类的机器或者其他类的机器将无法得到路由器的地址。……并且没有因特网访问的权限。以下是一些与之相关的连接:
根据微软的知识库文章Q240247,这里介绍的是如何设置DHCP类:
创建一个新用户或者提供商选项类
为新的类ID配置DHCP范围
为客户端计算机设置指定的DHCP类ID串
连接到基于Windows 2000的DHCP服务器的客户端计算机可以使用下面的命令来设置指定的DHCP类ID串:
ipconfig /setclassid adapter_name class_id
例如,要对一个称之为"局域网连接"的网卡配置用户类ID为"myuserclass"的DHCP类,只需要在命令行中输入ipconfig /setclassid "Local Area Connection" myuserclass,然后按下回车即可。
可选的解决方案
除了设置DHCP类这种方法外,还有一些其他的方法可以防止未授权的机器访问因特网。
成员markusfrei@gmx.net的建议是:"你可以安装一个代理服务器,并且设置所有的计算机只能通过代理服务器来访问因特网,这样你就可以设置允许哪些用户可以访问因特网,哪些用户不允许访问因特网。"
成员rfurze也提供了一个建议,允许来宾对因特网进行访问同时可以保证公司局域网的安全性:"来宾只能在会议室内或者在宾客区中插入指定的连接插入,这些连接可以回连到独立的DMZ区,而DMZ区不在你的正常的网络之中。如果他们不需要登录到你的网络,而仅仅只需要访问因特网的话,那么风险会小很多,而且由于他们在DMZ区的独立网络中,你也不需要做太多的工作。我建议,在他们插入连接之前,最好有一个策略,并且应该有一个培训过程,教会他们如何进入和退出。"
说明
我们对这些技术团队成员的粘贴到论坛上的讨论文本做了一些包括拼写、标点符号在内的微调,使得这些内容更为清晰明了。
(责任编辑:张竺)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者