首先, 第一句直接给出核心答案: 若要使得陌生终端无法偷偷连接你的内网, 那就得管理好设备信任列表, 通过配合拦截规则来锁定入口, 并且还要定期清理没用的记录, 如此便可达成。

第一步：先把设备信任列表彻底摸清

你要先知道自己手上有哪些设备是“自己人”。

不是那么容易嫌麻烦, 去登录你公司所拥有的后台, 或者是网络管理的页面, 从中找到“信任设备”或者是“白名单”的那一栏地方。对, 就是那里。

看一遍列表里有多少设备

核对每台设备的名称、IP地址、MAC地址

把不认识、没在用的设备标记出来

我亲身经历过一个情况, 列表当中存在着十几台被称作“测试机”的设备, 然而其结果全部都是那些已经离职的同事所遗留下来的, 并且没有人对此进行管理, 最终有一台旧手机巧妙地混入进来了, 差一点就引发了事故。

操作步骤：

1. 打开设备信任列表页面

2. 导出当前所有信任设备的记录

3. 对照实际员工或固定设备清单，一个个勾选确认

4. 把确认无效的设备删除或移入“待审核”区

第二步：给陌生终端设好拦截规则

光有信任列表不够，你得让系统主动挡住不认识的设备。

关键要点在于, 在进行设置拦截规则这个操作的时候, 可千万别仅仅依靠IP地址, 因为IP地址它是会发生变化的, 而MAC地址才是真正可靠的、起关键作用的实在之物。

开启设备认证功能：陌生终端连上网络时，必须先经过管理员审批

设置自动拦截：非信任设备直接无法获取IP地址

增设一个“临时访问”的通道, 倘若确实有访客需要使用此通道, 那就专门开辟一个访客网络, 使其不会触及到你的内网。

那时候我是因为贪图省事, 仅仅限制了IP范围, 然而后续隔壁部门的同事私自去连接了一个无线路由器, 所有连接到那个路由器的相关设备都避开了我所设定的规则。之后经过更改成为MAC拦截方式, 才成功堵住了这个存在的漏洞。

信任设备同步组网，稳定连接全终端，使用【快联 VPN 多终端同时登录，别重复买了，一个账号搞定全家设备】

操作步骤：

1. 进网络管理后台，找到“访问控制”或“设备拦截”模块

2. 开启“仅允许信任设备接入”开关

3. 把第一步清理好的信任设备MAC地址导入白名单

4. 设置陌生设备自动断网或弹出审批通知

第三步：定期清理和更新信任列表

那份被称作信任列表的东西, 可不是设置好了一回便宣告完结的, 随着时间持续拉长, 老旧的设备以及临时性的设备就会出现不断堆积的状况。

关键要点在于, 最少每三个月要进行一次全面的复查, 每个月还需要快速地进行一次大致的查看。

每次员工离职、设备报废后，立刻从列表里移除

临时访客用的设备，用完后马上删掉

给自己设个日历提醒：每月1号花10分钟看一遍

曾有一回我偷懒疏忽, 长达半年未加以管理, 有几百台设备躺在列表之中, 其中有一台是外包人员忘记归还的笔记本电脑, 后来该外包人员离职, 离职后他拿那台电脑对我们的内网进行了好几次尝试连接, 所幸拦截规则依然存在。

操作步骤：

1. 设定固定复查日期（比如每季度第一个周一）

2. 每次复查时，导出列表，和实际在职人员、在用设备对账

3. 删除超过90天没活动记录的可疑设备

4. 把复查结果记录到日志里，方便下次比对

FAQ 答疑

问：家里有人想连我办公电脑热点，会不会被拦截？

答: 要是你办公用的电脑热点所使用的是公司网络, 那么连接上去的那些设备就会被视作陌生终端, 除非你预先把它的MAC地址添加到信任列表当中。建议你在办公的时候不要开启热点以免省去麻烦。

问：我误删了一台正常设备的信任记录，怎么办？

答: 不要慌张。一般情况下, 后台会存在“操作日志”或者“回收站”, 前往那里将记录找回并重新进行添加就可以了。要是没有的话, 那就让那台设备的管理员再次去走一遍审批流程。

问：陌生终端被拦截后，会通知我吗？

回复是, 这要依据你的系统设定来看。多数管理后台能够进行告警通知的配置, 我给你的建议是, 将通知发送到自身的微信或者钉钉上面, 如此一来能够在第一时间知晓有人在对你的防线进行试探。

总结

把设备信任列表管理妥当, 关键的就有三件事情: 将列表里头的老旧设备清除得一干二净, 给陌生终端设置好拦截的规则, 定时进行复查并予以更新。

你可别觉着麻烦, 我把自己曾经踩过的坑告诉你, 就是一旦偷懒那么一回, 也许就得再多花上一整天的时间去处理安全警报。

你依照上面那种分三步去做的方式来进行, 十分钟的时间便能够将基础防护搭建起来, 剩余的就只是随手去做维护了。

安全防护加持专线加速，畅享低延迟办公网络，掌握【快联VPN企业办公延迟高？这3招直降延迟80%】