我想知道是否有可能完全禁止从局域网或无线局域网的PC? 我知道根据MAC地址禁止是无用的,因为它可以被修改。
PS:假定不需要凭证来连接LAN / WLAN。
确实,客户端可以改变他们的mac地址,从而渲染任何一种或多或less没用的filter。
在有线局域网上,使用正确的交换机types,可以控制MAC允许从哪个端口连接,并限制端口允许的MAC数量。 这可以帮助,如果客户端总是连接和打开,但知道什么MAC在一台特定的机器上的人可以拔出合法的盒子,并改变他们的MAC地址匹配。 一些交换机可以被configuration为在链路断开时阻塞端口,并且需要pipe理干预,但是根本不能很好地扩展。
所以,这正是802.1x协议打算提供的帮助。 简而言之,它要求客户端提供在networking访问被授权之前被authentication的凭证。 维基百科上的文章对它的工作原理有很好的描述。
据我所知,没有某种访问凭据,你想完成的事情是无法完成的。 802.1x至less将身份validation放在networking级别,而不是允许访问,然后通过其他方式阻止networking资源的使用。
您正在寻找称为networking访问控制的东西。 有各种各样的方法来实施来自不同供应商的NAC。 另外,在一个仅限于Windows的环境中,您可以实现域和服务器隔离 (而不是在* nix环境中不能完成类似的事情,但是这比它更值得痛苦)。 在域和服务器隔离的情况下,您并不阻止对networking本身的任何访问,而是阻止访问其上的任何服务器和工作站,如果它是您拥有的计算机,则可以控制哪台服务器和工作站是特定的服务器/工作站可以交谈。
如果可以通过networking(通过有线或无线电波)进行物理访问,则始终假定机器可以参与传输级别。 除此之外,它能做的是你真正应该关心的以及你应该把重点放在安全工作上。
根据您的networking大小和第2层硬件的types,您只能允许所需的mac地址。
个人电脑如何连接? 无线? 有线? 是一个个人电脑,像一个雇员使用自己的笔记本电脑一样工作。 在这种情况下,您可以采取合法的或内部的安全措施(主要是员工改变其MAC地址以连接并侵入白名单MAC地址限制)。
如果是一个外部的人使用你的wifi像邻居一样入侵networking,我认为最好的办法是永远不要让一个wifi连接无密码保护和encryption。
如果它是一个VPN访问…如果你使用像openvpn这样的证书的VPN,如果他有一个,你可以使用crl选项禁止它。
解决scheme可以针对每种情况而不同,而不仅仅是networking或服务器相关的。
现在,如果这是你的首席执行官使用他自己的笔记本电脑充满病毒…祝你好运;)但你可以提供清理的事情也许:)
我忘记了我以前读过的东西 – 但是如果你有一个DHCP服务器,基本上可以在你的networking上允许它作为该机器的预留,但是给它0.0.0.0的DNS等。这是唯一的方法,我发现以前禁止连接到我的无线networking的机器。