上网行为管理如何应对mac地址克隆和IP盗用

在部署了上网行为管理的局域网内，总会有人想各种各样的办法来突破上网管控。常见的方法有：

1. IP地址盗用。
2. mac地址克隆。

首先可以考虑不开放管理员权限，或者采用域控的方式禁止客户机自行修改网络设置等办法。其次也可以通过上网行为管理的管控策略来阻止这些行为。本文中，我来介绍下如何用WSG上网行为管理网关来应对IP地址盗用和MAC地址克隆。

如何防止IP地址盗用？

IP地址盗用，有两种可能：第一种是修改成管控范围外的IP地址；第二种是修改成局域网内其他终端的IP地址。

对于第一种情况，只需要通过防火墙策略，或者行为管理策略，对IP范围外禁止所有即可。如图：

盗用现有的IP地址会导致IP地址冲突，很少有人敢公然去做。当然，防止盗用现有的IP地址，还可以通过开启IP-MAC绑定的方式。开启绑定后，只有IP地址和MAC地址都吻合时，才可以上网。如图：

只要做了IP-MAC绑定，即使把IP地址修改成局域网内其他权限的IP地址，也是不能上网的。这样就可以杜绝自行修改IP的行为。

如何防止MAC地址克隆？

MAC地址克隆，基本上也是两种做法：

1). 修改自己的MAC地址来绕开监控。但是大部分的管控策略都是基于IP地址的，修改MAC就没有用处了。如果要防止修改MAC，只要开启IP-mac绑定就足够了。

2). 私接路由器并把路由器的MAC和IP都修改成电脑的MAC和IP。然后用路由器来带pc机和手机等设备。

第二种情况比第一种要复杂的多，从上层的上网行为管理和防火墙设备来看，IP和MAC地址都是合法的，而实际上却多了一些私接设备。这时候，就需要用到另外的一个模块“共享检测”。如图：

共享检测模块可以检测出上述的网络共享行为，并且可以看到这个设备下面的二级终端设备。如图：

这样就可以检测出私接路由器的行为来。

综上所述，结合ip管控、IP-MAC绑定，以及共享检测，就可以有效管控局域网内的“mac地址克隆”和“IP盗用”等违规行为。