如何禁止外来设备访问企业内网和外网

现代化办公，每个企业内部都会建立自己的内部局域网，并设置服务器，用于存储和共享日常工作中所需的各类数据，很多员工也会共享自己电脑中的一些数据，以便于局域网其他用户访问和使用，这种方式即节省了数据传递的时间，更提升了每个人的工作效率，可以说，非常便利。但是，由此引发的信息安全、网络安全问题也逐步暴露出来，我们不得不引起重视。 1、企业外来人员携带笔记本、手机、平板等，接入企业局域网，可以任意访问局域网共享资源，其中也包括企业商业机密或者重要文件，一旦被恶意修改、拷贝、删除，后果不堪设想，将会使企业遭受巨大的损失。 2、这些外来设备可能携带病毒、木马等，接入企业内部局域网中，极容易传播给内网的其他电脑，并对服务器造成重大影响，导致重要数据损坏或外泄，后果不堪设想。 3、外来设备接入企业局域网，如果大量下载文件或者在线游戏、在线视频、在线炒股等，会严重影响网速，导致其他电脑无法正常上网，严重影响员工的正常工作秩序。 4、外来设备接入企业局域网，随意修改IP地址或MAC地址的现象也十分普遍，如果出现IP冲突，会导致大家都无法正常工作。同时，修改IP地址或MAC地址，也使一些电脑可以越权上网、逃避网络监控，更有甚者以此公司重要数据或者机密信息，着实是一个重大的网络安全隐患。 因此，企业的网络管理人员必须对外来电脑、手机、平板等设备进行全面、实时、有效的安全管理和监控，以保护企业商业机密的安全，保证企业内部网的稳定和畅通。那么，是否有专门用于这方面管理的软件呢 通过向网友求助，小编得知大势至软件公司有一款这方面的软件，名称是“大势至网络准入控制系统”，这款软件的安装和 *** 作非常简单，只需要安装在局域网的任意一台电脑上就可以了。 首先选中对应的网卡，点击“开始监控”，系统会自动扫描局域网的所有电脑，先显示在黑名单中，然后我们根据需要将允许上网的电脑移至白名单中，或者全部选中、全部移至白名单中(白名单即允许上网的电脑)。如果外来电脑、手机或者平板接入局域网，必须先通过管理员授权方可接入，还可以直接勾选“自动隔离外来电脑/手机/平板”，那么外来设备就无法连接企业内部局域网了。如果一旦发现非法行为，可以将其手动隔离或者自动隔离。另外，还可以限制其访问内网或者访问外网的权限。如图所示： 那么如何禁止用户修改IP或MAC地址呢只需勾选界面上的“白名单IP地址变更时自动隔离”、“白名单MAC地址变更时自动隔离”即可。一旦发现局域网的电脑修改IP地址或修改MAC地址则自动将其隔离，隔离后无法访问内网和外网。只有改回原来的IP地址或MAC地址，系统才会自动取消隔离。 这款软件不但可以规范企业局域网管理，限制外来电脑随意访问企业机密文件，防止重要数据外泄，还可以防御病毒、木马，特别是防御蠕虫病毒、防御冲击波病毒、抵御网络风暴攻击等黑客攻击，还可以自动检测内网一些黑客软件或者攻击软件，记录危险主机，向网管人员发送警报信息，以便于网管人员迅速定位攻击源，保护内网安全。此外，通过禁止用户修改IP和MAC地址，还可以防止用户越权上网从事非法行为，从而逃避网络监管。总之，这款软件可以帮助企业网络管理人员解决很多头疼的问题，简单 *** 作，功能实用，值得一试。

比如禁止1921680x网段访问服务器iptables -A input -p tcp -s 19216800/24 -j DROP如果是允许访问iptables -A input -p tcp -s 19216800/24 -j ACCEPT如果是禁止访问服务器某一端口号iptables -A input -p tcp -s 19216800/24 --dport (端口号) -DROP 差不多就是这样了

上网的问题可以用ACL或者前缀列表把要不能上网的网段挑出来，然后通过路由策略或者策略路由来控制，置于端口映射也可以直接在路由器的出接口上配置，这些基本上也就是hcia的水平就能搞定。

首先要用到你们网站的服务器，使用ip安全策略禁止某ip访问网站的方法

在服务器控制面板—管理工具—本地安全策略  或者命令  gpeditmsc

选择创建 IP 安全策略

点选下一步

我们就是要禁止他,不和他说话,那么,取消勾选

直接按完成那个勾选是默认的

注意右下的”添加向导”,如果勾选了,取消他,然后点击”添加”

选中刚刚建立的 禁止ip   点 编辑

添加ip

把”添加向导”的勾选取消 , 然后点添加地址和目标别写反了,把自己给封了

我这里是选择 tcp 到80端口 ,直接按确定,回到上层界面,继续确定,回到新规则属性面板

选择“筛选器 *** 作”面板

这里的  阻止 是我先前做的添加的, *** 作步骤为: 取消 “添加向导” 的勾选点 添加

// 然后切换到 “协议” 面板

在常规里面重命名为 阻止 就ok了

一路确定,回到  注意要 禁止ip 前面的勾选确定,完成此策略最后需要指派策略

到此,刚才显示的ip   地址的用户就不能访问网站了

添加多ip 从 (@添加ip)   开始如果允许访问，也同样这样 *** 作就可以，很简单

---