當前,在國內很多企事業單位的局域網中,由於網絡布線的限制、局域網無線上網的需要等原因,常常在單位局域網中通過網線連接小型的無線路由器,然後員工通過無線路由器進行上網的情況。為此,聚生網管系統實時增強了對監控無線局域網、控制無線路由器電腦上網行為的功能,在聚生網管2012版本之後,網管員只需要通過簡單的設置就可以完全監控局域網私接無線路由器、管理通過無線路由器上網的電腦。具體可以根據無線路由器的連接方式而進行不同的控制。
如果是把交換機或路由器上的網線直接連接無線路由器的LAN口,則這種情況就相當於把無線路由器當做了交換機來使用,這實際上相當於是無線AP。這樣通過無線上網的電腦獲取的IP地址、網關等信息和局域網有線上網的電腦獲取的完全一致,則聚生網管自然就可以掃描無線上網的電腦(如筆記本、手機、平板電腦)、控制無線上網電腦的上網行為,和對有線電腦上網的控制完全一樣。
如果是將交換機或路由器的網線直接接到無線路由器的WAN口,則這種情況下通過無線路由器上網的電腦獲取的網關的IP地址就是無線路由器LAN口的IP地址,而獲取的IP地址也自然是和網關的IP地址在同一個網段內。比如無線路由器的LAN口IP地址一般是192.168.0.1,則無線上網的電腦獲取的網關IP地址就是192.168.0.1,而IP地址就是192.168.0.X。那麼這種情況下,聚生網管如果是通過有線上網的電腦控制局域網,就會因為IP地址段和網關地址完全不同而無法再掃描到通過無線路由器上網的電腦了。但是,聚生網管可以掃描到無線路由器,因為無線路由器的WAN口的IP地址和聚生網管的電腦IP地址在同一個IP段內,同時網關的IP地址也完全相同。因此,針對這種方式,網絡管理員可以進行如下控制:
像控制局域網有線電腦上網一樣控制無線路由器上網行為。由於聚生網管會掃描到無線路由器的IP地址和MAC地址,則自然就可以像控制局域網其他電腦上網行為一樣,控制無線路由器所帶的電腦上網,並且對無線路由器的控制後則所有通過無線路由器上網的電腦都會被控制。比如你禁止無線路由器QQ聊天、控制無線路由器迅雷下載,則所有通過無線路由器上網的電腦均無法登錄QQ聊天也無法進行迅雷下載。
如果你想具體監控無線路由器下各個電腦的上網行為,則網管員只需要在安裝聚生網管的電腦上插上一個USB無線網卡(假如是台式機的話,聚生網管公司免費贈送),並通過無線網卡成功連接到無線路由器,然後再次啟動聚生網管根據無線網卡獲取的IP信息、網關信息創建監控網段,然後啟動監控無線網段就可以了。這樣在電腦的右下角就會有兩個聚生網管同時運行,一個監控有線局域網,一個監控無線路由器所帶的電腦上網行為,從而實現了對有線和無線混合的網絡結構下的上網行為管理。
如果你想禁止局域網私接無線路由器、禁止無線路由器上網也比較簡單。由於聚生網管系統可以掃描到局域網所有電腦的IP地址、MAC地址和主機名,並且聚生網管還提供了主機備注功能,也就是你可以根據使用這個電腦的員工姓名來為電腦添加備注,這樣你也就同樣可以發現無線路由器的IP和MAC地址,然後你可以用聚生網管禁止無線路由器、禁止無線AP上網;當然,你也可以在路由器裡面設置MAC地址過濾來禁止無線路由器接入和上網。
此外,由於局域網私自安裝無線路由器也可能會引發一些網絡安全管理的問題(由於無線路由器的阻擋,使得我們無法精確得知員工具體的上網行為);同時,在公司局域網中,經常有公司外部人員、非公司員工私自攜帶筆記本、平板電腦或手機等等接入到局域網中,訪問單位內部重要的共享文件、訪問互聯網等,這些外來電腦或網絡設備給企業的商業機密和無形資產的安全造成重大隱患;此外,一些有一定技術的外來人員還可能運行一些嗅探軟件、網絡抓包軟件或黑客軟件來竊取公司商業機密、員工個人隱私信息等等;此外,外來人員的上網行為也極容易傳播病毒木馬、搶占局域網寬帶資源等等,從而對企業局域網的網絡安全、網絡的暢通運行造成嚴重影響。為此,我們必須采取一定的手段來禁止外來電腦接入、防止非公司電腦接入公司局域網、防止局域網嗅探、防范網絡抓包等,此外還要防止ARP攻擊、禁止電腦代理上網或充當代理服務器等等。這種情況下,我們可以借助聚生網管的擴展插件——大勢至內網安全衛士來實現,有興趣的網管可以登錄聚生網管官網進行詳細了解。
總之,在局域網監控中,必須有效管理無線路由器、監控無線AP網絡環境下電腦上網行為,防止通過無線路由器上網而引起的不當擴展,以及給網絡安全造成的潛在隱患!