只是好奇:人们如何“锁定”他们的网络以防止未经授权的设备获得网络访问权限?
DHCP 与静态 IP 网络有何不同?
Windows AD 管理怎么样?
编辑:我并不是想阻止任何事情。只是好奇应该如何实现“安全”网络
答案1
在您的网络上实施 802.1x 身份验证,和/或禁用所有未使用的交换机端口。
DHCP、静态 IP 和 AD 与您防止外部人员访问的安全性几乎没有关系。
如果您不想完全禁用端口,我建议将所有“额外”交换机端口放入具有自己的 DHCP 服务器且不会路由到网络上任何其他设备的 VLAN 中。然后监视该 DHCP 服务器是否有任何租约,并追踪人们随机插入的位置。如果您真的想要,您可以在该 VLAN 上设置一个强制门户,解释他们无法浏览互联网的原因。
答案2
保护什么?锁定以防止什么?
- 您要尝试缓解的威胁是什么?
- 从安全角度来说,理论上的合法用户能受到多大的不便?
- 有点与上一点相关)被保护的东西的价值是多少
- 违规的成本/后果是什么?会有人死亡吗?企业会破产吗?
顺便说一句,我并不是吹毛求疵,这些只是你必须在开始锁定任何内容之前,请先回答。保护我雇主的数据安全所需的安全性与保护银行安全或保护与军事部署相关的敏感数据所需的安全性不同。
我可以告诉你,为了防止用户随意连接到我关心其安全性的网络,我可能会实施 802.1x 安全性,但根据他们对上述问题的回答,我可能需要做更多的事情。或者少一点。
答案3
视窗域隔离将使用 IPSEC 隔离您的 Windows 节点 - 阻止任何连接到不属于域的网络的人访问它们。
通过还要求用户/个人身份验证或简单的域成员资格来通过任何防火墙 - 您进一步限制了插件可以做的事情。
但必然存在易受攻击的节点 - 比如打印机网络上的打印机,物理安全对于防止某人随意插入仍然很重要。
简单地尽可能地分割网络也将有助于使其更加健壮。
与 802.1x 结合使用您会获得相当不错的效果,但遗憾的是 802.1x 的有线形式并不是万无一失的。
与往常一样,安全性需要深度和多层次。
答案4
AD 管理与阻止网络访问关系不大。它控制谁可以登录资源(如果这些资源由 AD 管理),但不会阻止设备连接到您的网络。使用 DHCP 或静态 IP 也不会,除非您还根据以太网 MAC 地址进行过滤。
您能否更详细地解释一下您要阻止的访问类型?这个问题的范围相当广泛,可能需要数年时间才能彻底解决。;)