只有通過身份認證的人才允許上公司內網

1、公司內部上網需要認證身份的內網如何設置路由器？

如果是在公司內網上面加裝無線路由的話，首先記下你電腦的ip地址、子網掩碼、網關、dns。然後把你公司可以上網的網線插到路由器的wan口上

2、公司不允許登陸互聯網,只允許登陸本公司的內網伺服器網站和指定外網,如何突破

關系不到位就不可突破。伺服器防火牆設置了訪問埠和域名，只允許IP在規則內的訪問互聯網。關繫到位就能突破。找到有訪問許可權的ip，安裝一個代理伺服器軟體，做一個代理，通過這台的電腦上外網。該軟體在百度上搜一搜，多的是。還要看公司的伺服器防火牆有沒有設置二級代理的規則，若不允許，什麼都免談了。就不要多想了，干好工作吧。

3、如何能讓單位內只能上內網的電腦上外網？請教高手

有網路管理在控制，找他就能解決了，沒有別的辦法

4、公司有的人能上外網跟內網，有的人只能上內網

你們公司有些人能內外網同時上..有的人只能上內網不能上外網....現在你是想讓所有人都內外網同時上還是讓所有人只能上內網啊?
在路由下加設交換機，配置vlan..設置隔離廣播...也能實現一部分人上內網..一部分人內外網同時上..

5、想同時上內網和外網，但是有的部門只允許上內網，需要怎麼設置？

1、最好用3層交換機，每個部門劃為一個vlan，每個vlan一個網段。這樣內部vlan之間在交換機上設置可以互相通信。硬體防火牆做nat去外網，在防火牆上根本就不做到達不能上網的那2個網段的路由，這樣2個部門就不能上外網了。

2、你這個訪問許可權沒有描述清楚，訪問什麼的許可權？訪問伺服器？訪問外網？

6、電腦可以上公司內網，上外網需要身份認證工具，但是下載好後安裝會閃

這個要看網路拓撲和規模才能確定，一般有以下幾個原因：1、這是最常發生專的問題，排屬錯時先從這個原因下手，出口路由或是出口線路故障；2、如果一台主機直連出口路由可以上往下找三層交換機或是核心層設備故障；3、如果以上兩個原因都不是抓包找是不是有ARP攻擊。

7、如何讓自己的網站非要讓別人通過身份驗證才可以進入？

對日益依賴互聯網應用的現代企業來說，不斷變化的安全威脅和不斷變化的法規標准使得維護可信賴的網路環境成為一大難題。

在如今的全球化經濟環境下，公司企業從來沒有像現在這樣離不開互

聯網——企業通過網際網路開展電子商務交易，並為供應商、業務合作夥伴、客戶及遠程員工提供訪問網路資源的便利。不過，盡管在網上做生意變得更方便了，要確保數據交換和通信安全、可靠卻變得更困難了。對大大小小的企業來說，不斷變化的安全威脅和不斷變化的法規標准使得維護可信賴的網路環境成為一大難題。

這里介紹了十個安全策略，以便在企業內外建立網上信任關系。雖然這些策略並不全面，但它們側重於企業面臨的十個最大威脅：電子郵件系統、傳統的口令安全機制、身份認證、網路釣魚等。

1. 缺少SSL的保護，數據完整性就會受到危及。

應盡快為你的整個企業部署SSL伺服器證書。SSL是世界上部署最廣泛的安全協議，它應當部署在任何伺服器上，以保護從瀏覽器傳輸到伺服器的各種機密和個人信息。

安全套接層（SSL）加密是如今用來保護網站、內聯網、外聯網以及基於伺服器的其他應用的最主要的技術之一。如果沒有它，通過公共和專用網路交換的數據其完整性就會受到危及，最終影響業務連續性和利潤。SSL可以保護網路訪問、網上聯系和數字交易，因為它能夠在伺服器和用戶之間建立一條安全通道。

在過去幾年間，人們對SSL技術所具有的優點的認識和理解有了大為提高。越來越多的用戶留意表明會話採用SSL加密的那個掛鎖符號

如今成千上萬的網站安裝了X.509特殊伺服器數字證書，它可以激活瀏覽器和伺服器之間的SSL。所有現代的Web瀏覽器和伺服器裡面已經集成了支持SSL的功能，因此，從企業角度來看，只要在伺服器上安裝證書即可。一旦瀏覽器和伺服器進行了信號交換，從一方傳送到另一方的所有數據都經過了加密，從而可以防止可能會危及傳送數據的安全性或者完整性的任何竊聽行為。

2. 沒有可靠的物理和網路安全，敏感的企業數據就會岌岌可危。

使用防火牆、入侵檢測、客戶端PC病毒軟體、基於伺服器的病毒檢查，並且確保所有系統上的安全補丁版本最新，這可以防止大多數類型的威脅影響公司業務、破壞敏感數據或者威脅業務連續性。

網路安全涉及計算機系統和網路訪問控制、檢測及響應入侵活動。安全不力會帶來巨大風險：數據失竊、服務中斷、物理破壞、系統完整性受到危及、未授權披露公司專有信息。

為了保護網路訪問通道，就要從基本方面著手，譬如把沒有使用的計算機鎖起來。除了基本方面之外，更可靠的解決方案包括：利用密鑰卡、硬體令牌和生物識別技術來控制訪問特別敏感的地方。

防火牆是網路安全的必要組成部分。防火牆限制從一個網路到另一個網路的訪問，並且檢查及限制通過網路的所有流量。防火牆應當限制從網際網路及一個內部網路（如應用伺服器）進入到另一個網路（如資料庫）。認真考慮防火牆應該允許開放哪些IP地址和埠，這很有必要。此外，建議為網路上功能明顯不同的部分使用多層防火牆——一個防火牆用於非軍事區（DMZ）、第二個用於Web伺服器、第三個用於應用伺服器，第四個可能用於資料庫。

入侵檢測系統可以監視攻擊、分析審查日誌、出現攻擊時向管理員報警、保護系統文件、揭示黑客的手法、表明哪些漏洞需要加以堵住，並且有助於跟蹤實施攻擊的不法分子。

另一個必不可少的

手段就是確保所有客戶機上的病毒和特洛伊木馬檢查軟體版本最新。外面有成千上萬的病毒，每個新病毒都比原來的那種病毒來得狡猾、更具破壞性。最近通過電子郵件傳播、在全球肆虐的幾個病毒已造成了巨大破壞和損失。一種特別可靠的解決方案就是，在電子郵件傳輸系統（如微軟Exchange）上運行基於伺服器的病毒軟體，以防止被感染的郵件傳送給用戶或者通過一個客戶機感染其他客戶機。

最後，最簡單也是最有效的方法是，確保已打上了針對所有操作系統和應用軟體的每個最新版本的安全補丁。黑客對微軟的IIS Web伺服器存在的漏洞一清二楚，一直把運行IIS Web伺服器的站點作為下手目標。多年來，堵住IIS安全漏洞的補丁可以免費獲得，不過網上仍有30%以上的IIS系統沒有打上最新補丁。因此，有必要重申這一點：立即打上所有安全補丁。

3. 自己開發PKI系統或者選擇託管型PKI服務。

值得信賴的第三方在擴建復雜、安全、昂貴的公鑰基礎設施（PKI）並為你管理時，採用完全託管的安全服務可以讓你把精力集中在促進公司業務發展所需的應用上。

公鑰基礎設施（PKI）這種工具能夠以過去不可能實現的方式來使用各種應用。要是缺乏有效的方法來頒發、撤銷及管理證書，公司在內聯網上部署福利系統後，別指望員工使用該系統只用於查詢福利信息，如果相當大比例的員工遠地辦公的話，更是如此。同樣，如果訪問不安全、可靠，銷售隊伍就無法完全利用公司的重要系統：CRM系統。如今不少公司在限制使用電子郵件，許多公司禁止使用即時消息傳送——這一切都是因為這些系統還不是安全的。

上一代PKI從理論上來說很好，但實際上需要安裝復雜的軟硬體，還需要專門的IT人員以及特殊的安全措施來保護系統。不用說，這一切意味著龐大的財務費用。不過，PKI已不斷成熟，並且技術上有了足夠創新，可以成為應用系統的一個外包部分。值得信賴的第三方認證中心（CA）可以構建、維護及管理企業所需的公鑰基礎設施，並確保其安全。提供完全託管型服務的CA在驗證技術和方法方面具有專長。企業就要知道想要實施的業務規則以及為了實現業務流程自動化需要部署的應用。集成點在於如何在應用中使用證書以落實安全。許多應用已經具有證書就緒功能（certificate-ready），譬如瀏覽器、電子郵件和虛擬專用網（VPN）；日益使用證書成了大勢所趨。

完全託管的安全服務有幾個重要部分：靈活的驗證模型（我們如何才能知道某人就是他所說的那個人）、管理界面（組織中的哪個人被授權可進行更改、控制流程）和操作界面（組織中的不同群體如何獲得證書）。

大多數組織需要外包給可信第三方的應用滿足以下一種或者多種要求：安全訪問、安全消息傳送和無紙交易。對所有大組織來說，員工可以安全訪問企業網路如內聯網、訪問關鍵應用如CRM系統是一項重要需求。電子郵件或者即時消息傳送程序安全傳送消息為安全地確認消息發送方身份、保護內容避免被人竊聽提供了一種機制。而無紙交易可以把如今需要用原始簽名（Wet Signature）來表明內容的基於紙張的流程完全實現數字化，從而節省基於紙張的流程的時間和成本。

4. 免費軟體可以在30分鍾內破解口令。

口令安全性很差，而且變得越來越差，從而導致你的安全系統易受攻擊。可以執行嚴格的口令使用規則，從而大大增強這種防禦能力。

隨著計算機的運行速度加快，破解口令帶來的誘惑加大，對那些不法分子更有吸引力。由於更多的關鍵業務系統實現了聯網，破解口令能夠得到更大收獲。利用可以下載的免費軟體，誰都能夠在30分鍾內破解6個字元長的口令、6小時內破解8個字元長的口令。

你需要立即在人們如何創建口令以及口令更改頻率方面制訂規則。口令創建規則包括：混合使用大小寫字母；至少始終要有一個數字和標點符號；不要使用個人資料當中的名字；長度至少要有8個字元。最重要的是，如果你需要不斷使用口令，如果五次輸入都不正確後，就要確保所有口令都被禁用，以防範企圖藉助蠻力破解口令的行為。在內部運行口令破解程序，查出安全性很差的口令。然後，開始改用低成本、外包的驗證和數字SSL證書服務，替換這些弱口令。

5. 電子郵件會泄露你的商業機密。

為所有員工發放數字客戶端證書，用於簽名/加密的電子郵件，從而保護企業數據，進一步讓員工對企業所有通信的來源、真實性和機密性都感到放心。

安全消息傳送（想想最初的電子郵件以及隨後的即時消息和IP語音傳輸[VoIP]等）旨在確保，只有消息的預期接收方才能夠讀取。電子郵件使用越頻繁，它對公司的機密信息而言就越重要。發送到企業外

面的電子郵件更是如此。電子郵件以明文格式，通過公共網路從一台伺服器傳送到另一台伺服器上。一路上的伺服器能夠而且確實保存收到的所有消息，也有權利這么做。在大多數電子郵件系統上，發送方無法控制誰可以接收到轉發的電子郵件消息，也沒有表明有人接到轉發消息的審查蹤跡。

任何兩名員工現在只要簡單地交換客戶端證書，就可以對發給對方的消息進行簽名及加密，從而確保：這些消息沒有被篡改；消息來源得到證實；對兩者之間的任何系統進行竊聽的人都無法讀取消息。公司的機密電子郵件需要採用這種做法。此外，組織還應當迅速部署安全的即時消息傳送（IM）產品，禁止使用任何不安全的IM。即時消息傳送已成為公司中的一個常見部分，起到了非常重要的作用。不過，公司的關鍵信息也在通過IM系統傳送，可能會被沒有證書的人所獲取。有了安全的IM，這將不再成為問題。

6. 傳統的訪問控制已經難以勝任。

利用數字證書取代使用入口點所用的弱口令和成本高昂的時間同步令牌來保護系統安全。數字證書比口令安全得多、成本低於安全令牌，而且如果完全託管，易於部署。

SSL支持兩端：伺服器和客戶機的身份驗證。如果伺服器提供證書給客戶機，這表明伺服器已通過驗證（擁有域控制權的組織獲得了證書，並且身份得到驗證），客戶機（瀏覽器）證實：證書域和伺服器域相匹配。如果客戶機提供證書給伺服器，這表明客戶機已通過驗證。客戶機驗證涉及對用戶的身份進行驗證，而該用戶和證書同與伺服器通信的客戶機結合在一起。這些客戶端SSL證書駐留在瀏覽器裡面，這樣一來，就取代了用口令訪問安全網站的機制。

證書比口令安全得多，因為竊取另一個人的證書很困難，就算竊取了裡面存有證書的電腦也無濟於事，因為這仍需要口令才能激活證書。由於證書大大提高了安全系統，這樣就可以放心地訪問比較重要的應用，如CRM系統和企業內聯網。

許多公司現在或者很快會安裝VPN，以便遠程用戶安全訪問重要系統。這是一個很好的舉措，但不要通過口令來確認身份，這樣會削弱VPN的好處，而是需要在VPN安裝客戶端證書才允許進入。

時間同步令牌是一種小巧設備，可以生成號碼，用戶可用來輸入到網頁上，從而安全地訪問網路或者應用。遺憾的是，時間同步令牌成本高昂、人們會丟失、所用電池也會出問題，你還很容易把它借給別人使用。應當實施託管型的安全服務，從而頒發及管理客戶端證書的生命周期。

7. 你的網站可能會被網路釣魚所欺騙。

你可以通過讓網站使用信任標記（Trust Mark）來表明及保護貴公司的身份，既向訪客表明自己的真實身份，以能夠讓訪客信任你的網站。

在處理敏感數據時，SSL對加密而言至關重要。但SSL並不提供有關被訪問網站的身份——這是「網路安全領域的公開秘密」。為了保護你網站上公司的身份，就要使用無法復制的信任標記或者安全站點圖標（Site Seal）。對組織來說，這杜絕了站點上當受騙的可能性；而對客戶來說，這讓他們確信自己是在訪問合法網站。遺憾的是，許多現有的「身份」產品（站點圖標）提供不了保護——它們可以點擊復制。訪問上面有圖標或標記的任何網頁，點擊滑鼠右鍵，就能看到菜單。

相反，應當使用動態生成的無法復制的站點圖標。譬如說，有些公司的站點圖標放在網頁上，以表明該站點是合法的、真實的，並且已得到可信第三方的證實。首先，站點圖標認為核實站點所有人的身份最重要。其次，站點圖標旨在打擊盜用現象。第三，它還提供了「自我監管」功能：如果無法證實站點所有人的身份，圖標就根本不會出現。最後，它會鏈接至收集了有關站點及所有人的驗證信息的龐大資料庫，幫助用戶、最終幫助站點本身。這讓訪客能夠信任商家，從而促成眾多交易。

8. 在生產環境中進行測試無異於玩火。

建立非軍事區（DMZ），以便把有風險的網路活動隔離在你的關鍵業務型生產網路部分之外，模擬生產環境，或者讓客戶可以進行各種驗收測試。

允許通過數據機訪問安全網路的中心部位

，這是導致入侵的最常見根源之一。如今許多人使用所謂的戰爭撥號器（War Dialer），試圖通過數據機組（Modem Bank）來訪問企業或者政府的網路系統。這些人往往能夠得逞。

建立可以訪問網際網路、但只能有限制性地訪問內部網路的DMZ。可通過認真設置防火牆來做到這一點：把DMZ封鎖起來，遠離網路其餘部分，同時仍允許可以全面訪問網際網路。防火牆可以保護網路的關鍵部分，遠離這個DMZ。

如果客戶驗收測試必須在公司網路上進行，只允許這種測試在DMZ進行。

9. 最薄弱的安全環節是你的人員。

定義安全規范。這也許是最容易被忽視的，也是十條指導准則中最重要的，不過也是最容易、可能也會帶來最大影響的：把安全規范擬寫成文、傳達下去，並加以執行。

安全效果完全取決於貴組織的最薄弱環節。安全從來不是自動就能實現的，它需要人的參與。人員對組織的一項安全策略會取得多大成功具有最大的影響。不少實踐已表明，從安全人員入手是突破組織安全體系的最簡單方法。如果組織制訂條文明確、解釋清楚的安全策略，並加以執行，就能有效地對付這一點及簡單的錯誤。

要明文規定有關設施訪問、網路訪問、合理使用公司系統與網路以及合理使用公司電子郵件和瀏覽器的相關流程和規則。

列出得到支持的標准和不得到支持的標准。包括允許在網路上使用的操作系統，並解釋為什麼不允許另外的操作系統。如果允許訪客進入貴組織的會議室，而會議室裡面有網路分接頭，可以接入上網，那麼這種很常見的方法闖入網路的速度不亞於「特洛伊木馬」。

10.繞不過去的身份驗證。

開始使用經過全面測試、成熟的驗證技術，以查明網上匿名者的身份。通過無紙交易來簡化你的公司業務。

「沒人知道你在網上是一條狗」是《紐約客》雜志上的一幅著名漫畫，如今被許多網站、簡報甚至T恤衫所引用。這恰恰表明了使用網路進行重要交易所面臨的最大的一個威脅。對某個人進行驗證的一套標准程序是向他們詢問只有你和對方知道的一系列共享秘密，但在網上進行交易所面臨的難題就是，商家並不知道個人，因而也就沒有共享秘密。

需要顧客訂閱、登記或者填寫表格的許多組織正期望消除人工紙張過程和人工審批過程。為了開展網上應用，商家必須能夠驗證：消費者就是他所說的那個人，並擁有生成電子簽名的能力。

(計世網)

8、我在公司上班！ 想讓一些做項目的工作人員上不了外網，但是能上內網！ 怎麼樣才能做到？

設置路由器 限制他們的IP段的外網流量為0就行了 不影響內網使用

9、公司里的內網外網有什麼用啊都可以上互聯網嗎？

內外網是不同的，內網指區域網，只能公司內部使用，比如上OA網，公司內部傳資料等；外網就是人們常說的互聯網，也叫網際網路，可以上網，查找資料，聊天，交友，下載軟體、資料等，還可以建博客、建網站、宣傳公司、網上購物、網上支付、炒股、看書、游戲等等。可以做的事情很多。
當然，內外網並不是完全不同的，經過設置，內網也可以通過外網來達到上網的目的。
明白了嗎？！