我是教育机构的网络管理员,我们制定了一项策略来监控/阻止学生未经授权的网络访问,例如(新闻/社交网络/娱乐等)。到目前为止,我们使用专业的防火墙服务来实现这一目标。另一方面,现在我们决定尝试一些自主开发的策略来解决这个问题,所以我们正在考虑绑定特定站点的 IP 地址和 MAC 地址,并在此基础上为各种用户(权限)提供不同的访问级别。
考虑到我们有大约 5000 台不同的机器,并且使用子网来分配 IP,上述策略可能有哪些优点/缺点。
答案1
如果要访问互联网,您可以强制每个人都通过带有用户身份验证的 VPN 进行连接。OpenVPN 几乎可以在所有平台上运行,并且您可以进行设置,以便用户必须使用用户名/密码登录。然后您可以根据已登录的用户动态设置过滤器。
例如,您可以让守护进程监视 OpenVPN 日志,每当有人连接时,它就会修改其 IP 地址的过滤器(也显示在日志中)。