如何防止訪客利用無線網路私自存取企業內部資料？

透過WPA、WEP等方式設定加密，主要是防止有人在未經許可的情況下使用無線網路，至於如何限制使用者僅能存取特定範圍的網路資源，則不在此一等級設備的功能範圍之列。雖然如此，我們仍然可以採取一些方法防範有人利用設備功能上的限制，藉以偷取重要的機密資料。

做法1：將該區域所在的網路埠對應到其它VLAN
如果企業網路上的交換器，或者是防火牆支援這項功能，我們可以將會客區所在的網路埠對應到其它VLAN ID，如此一來，訪客僅能透過無線網路存取外部的廣域網路，以及同樣位於會客區的其它電腦，以便保護內部流通的機密資料不會被任意存取。

對於有提供網頁管理介面的無線路由器設備來說，VLAN的設定一般來說不會太複雜。可能只要透過勾選方式，就可以很輕易地將設備上的各個網路埠對應到不同的VLAN ID，不過也有一些這類型的設備（尤其是交換器）仍然得透過文字指令的方式，在Telnet或者是終端機介面下進行管理，這時管理者就必須衡量一下自己對於這些設備的熟悉程度，來決定是否要以切割VLAN的方式來限制會客區域的網路存取權限，因為稍有不慎，就有可能會造成企業內網路運作停擺，而造成企業管理營運上的重大損失。

做法2：指派另外一組實體IP給會客區的無線設備使用
當企業的規模較小，只能購買不具備VLAN功能的非網管型設備時，此時透過指派另外一組實體IP給無線設備，讓會客區以及員工電腦的流量從各自不同的閘道進出，這也是可行的做法。

無論是專線，或者是一般常見的ADSL，ISP均會提供數個不等的實體IP供租用線路的用戶運用，在IP配額仍有剩餘的情況下，就可以利用此種方式，將兩個性質不同的對外網路予以隔離。

這種架構的常見做法，就是在數據機後方串接一臺交換器，然後將內部網路所在的防火牆設備，以及該臺無線網路設備均連接到交換器，再依照ISP所給予IP性質的不同（固定式或者是浮動IP），決定如何讓設備以何種方式連接網路。

如果防火牆設備支援Multi-PPPoE的多重撥接功能（各廠商的稱呼可能有所不同），則可以將該臺網路設備直接串接在防火牆的網路埠，然後再以撥接方式取得另外一組的實體IP。

做法3：導入其它資料外洩防護產品加以控管
許多企業，尤其是高科技產業，為了防止員工將重要的機密外流出去，除了對於資訊設備的使用有一套嚴格的規範，通常也會購買一些資安產品控管機密資料的流動。

防機密資料外洩產品，主要是用來限制員工在自己的電腦上，利用各種手法將資料外洩，如印表機列印、IM檔案傳送、電子郵件，以及將檔案複製到隨身碟等。對於員工利用自己攜帶的筆電，或者是PDA等行動裝置拷貝檔案的行為，此類產品有一部分也提供相關的防護功能，以避免機密資料透過這些無法管理的裝置外流出去。文⊙楊啟倫

iThome歡迎讀者提問，請將你所遇到的各種企業IT疑難雜症，寄至iThome編輯部：QA@mail.ithome.com.tw