|
本帖最后由 aibinge 于 2015-1-18 15:24 编辑
先讲一下环境(完全个人想法,本人从事网管工作):
1、企业内网IP划分:
路由器LAN口:192.168.1.1
BOSS们的IP:88、168、188
服务器地址池:2-20
无线路由地址池:40-50
客户无线地址池:60-70(安全起见可以划分vlan)
A部门地址池:90-100
B部门地址池:110-120
C部门地址池:130-140
客户地址池:240-254(安全起见可以划分vlan)
当然还有考勤机的IP,这IP,那IP的。
以上IP范围是随意设置的,这样设置是方便上下扩展。IP设置千万别设置死,当然你要无序管理那也是可以的
企业内网一定得固定IP,路由器上做好IP-MAC地址绑定
再扯一点有关企业内网计算机名的设置,XXX-SALES-6645 (XXX为企业的中文拼音或英文缩写,sales为部门,6645为内部座机号码),如某天你内网出现问题,你查到计算机名是XXX-SALES-6645,你立马可以拿起电话打电话给他,叫他先拔网线等等等等。貌似扯多了。
2、需求
a、企业内网禁止迅雷下载、网盘等P2P下载(客户无线地址池、客户地址池、BOSS们的所用的IP不能禁止,但得限制下载速度)。
b、企业内网所有的用户禁止上外网、看视频,当然小一些的企业没那么严格,这一块分上下班,上班禁止,下班允许(但是可以上指定的外网:如公司的企业邮箱网站、业务网站、企业官网、财务上银行网站、采购部上阿里巴巴、淘宝啊等等特定的网站,客户无线地址池、客户地址池、BOSS们的所用的IP除外)。
当然你也可以封掉BOSS们的A网站。
c、禁止内网用户上个人QQ、同花顺啦等其他应用,这块最好可以根据需要开放某些IP能用(当然公司购买了企业版的QQ就自带限制个人QQ)(客户无线地址池、客户地址池、BOSS们的所用的IP不能禁止)
d、禁止企业内网电脑上的腾讯管家、金山卫士、306升级软件和打系统补丁(当然也可以允许某些IP可以更新)
e、服务器地址池禁止上网,但可以开放服务端口提供服务
f、客户无线地址池、客户地址池这两段地址如何防止内部员工上,行政手段OR技术手段?各位有好的想法可以提供不?或者直接放任,采用手工流控控制网速?
3、达到这些要干什么:
a、以部门分组、以时间分组、以IP分组
b、找到各个设置入口,先禁用然后根据需求开启
4、个人看法:
以上有不对的,说的不到位的,还望指导,勿喷,谢谢:
个人认为在 禁止网址、应用啥的都应该跟防火墙策略一下,先统一禁止,然后按需开放,这样才是安全的。
至于查看网址记录、查看应用记录、查看指定人的所有记录个人觉得没必要,比如财务部你都设置了只能打开中国银行,农业银行的网站,那试问下还有没有必要记录?你一个网管难道想天天查看人家几点打开了中国农业的网站?
当然你们会说,我刚设置的IP段不是有客户无线地址池、客户地址池、BOSS们IP地址吗,难道这些人也要去记录?为什么?
个人认为在企业,起码大部分企业中不需要,而且单单的记录浏览网址、打开应用这些也没多大意义,还会增加路由器的负担。当然这只是个人的想法。
还有一个 ipsec VPN 不知道啥时候有,需求啊!小C
目前打算再在 企业内网和路由器之间加一个panabit流控,来控制企业内网
|
|