定位違規電腦

引言：公司為實現內部資源共享，同時防止內部資料外流，組建了專供內部使用的資源網。未進行實名注冊的用戶和主機MAC地址未在防火墻上綁定的電腦無法訪問局域網外資源。但網絡監測部門發現我部局域網內某電腦連接了互聯網。經排查得知，該用戶使用手機連接電腦，并開啟了USB上網功能，導致內部電腦連接了互聯網。

公司為實現內部資源共享，同時防止內部資料外流，組建了專供內部使用的資源網。此網有專用的服務器、路由器、交換機、防火墻等網絡設備，與互聯網物理隔離。內部電腦要上資源網需要安裝實名認證軟件。為防止人員將內部電腦連接互聯網，實名認證軟件具有定時向資源網和互聯網上監測終端發送主機名、IP地址、網卡MAC地址等主機信息的功能。未進行實名注冊的用戶和主機MAC地址未在防火墻上綁定的電腦無法訪問局域網外資源，但可以訪問局域網內部資源。

故障現象

某日，網絡監測部門在互聯網上通過監測終端，發現我部局域網內某電腦連接了互聯網，并將該電腦的主機名、IP地址、MAC地址發給了我們，責成我部盡快將其找到，并上報相關情況。

故障排查

為了找到該電腦，我們首先查看了IP地址所在的具體部門。因為單位的局域網由8個C類地址組成，主機數量很多。為了便于管理，在建網初期，已為各部門劃分了不同的地址段。通過比對查找，發現雖然此IP地址屬于甲部門，但確實不是該部門的電腦，肯定有人違規使用了其他部門的地址。看來從IP地址已經無法找到問題電腦了。

由于要訪問局域網外資源網信息的電腦都在防火墻上進行了綁定，并有實名登記，如果此電腦曾經通過路由器出局域網，肯定綁定了MAC地址。于是將該電腦的MAC地址與防火墻中的MAC地址綁定表進行對比，也未找到相同的，看來又一個希望破滅了。猜測該電腦可能還在線，Ping該電腦的IP地址，但未能Ping通，看來不在線。經過大家的討論和分析，認為此電腦如果是我單位某部門的，那么與此電腦同批采購的電腦的MAC地址的前幾位應該是相同的。因為同一批次同一品牌的電腦所用網卡很可能是同一廠家的，其前3組用來表示網絡廠商標識的16進制數應該相同。

故障解決

用局域網查看工具軟件查看局域網內所有在線電腦的IP地址和MAC地址，確實發現有兩臺電腦MAC地址的前幾位與問題電腦相同。通過查看登記，這兩臺電腦也在同一個部門。于是我們直接前往該部門所在辦公室，發現辦公桌上有三臺電腦，兩臺在用，一臺關機。經過檢查，問題電腦就是它。

原來，某人用USB線將手機與電腦相連，本來只想將手機內的照片傳到電腦里，卻開啟了USB上網功能，導致內部電腦連接了互聯網。

經驗總結

問題電腦終于找到了，但問題還沒有完，給我們留下了很多思索。為什么在局域網中定位一臺內部電腦這么復雜？為什么會出現內部電腦外連事件呢？我想主要有三點啟示：一是要規范內部電腦及其入網管理。每臺投入使用的內部電腦都應登記在冊，特別是MAC地址，并嚴格按劃分的IP地址進行設置，不得使用非本部門的IP。二是在技術方面，將每臺入網的內部電腦MAC地址與對應交換機端口進行綁定，在交換機上進行相關設置，使未綁定的電腦無法入網。三是進行安全保密教育。不得將手機、無線網卡等可上網設備與內部電腦互聯，防止因誤操作導致違規上網。