再会,
我经常在朋友的电脑上工作,他们怀疑电脑有病毒或其他恶意软件,我想知道当我需要上网时,将他们连接到我的网络的最佳方式是什么。我的家庭网络就是将简单的电缆调制解调器连接到 Linksys 路由器,再连接到台式机。我想将这台恶意机器连接到路由器以上网,但显然我不想冒险感染自己的机器。
过去,当需要连接恶意机器时,我只是简单地关闭自己的机器,但这并不总是方便。
我的问题是,如果我用菊花链连接两个路由器 - 换句话说,将一个单独的路由器挂在现有路由器上,并将恶意机器连接到该路由器 - 这样是否可以保留两台机器,或者说两个网络是否足够沙盒化?或者有更好的方法吗?
谢谢!
答案1
您想要创建一个“DMZ”,即非军事区,将不受信任的主机放在其中,这就是您所建议的,只是您的顺序错了。
Cable modem <-- router <-- DMZ <-- router <-- trusted network.
确保将访问者连接到您自己的机器所在的路由器的“外部”,也就是说,您的家庭网络使用的路由器上的 WAN 端口应连接到路由器上的“内部”交换机端口,该路由器的 WAN 端口连接到电缆调制解调器。
即您的内部路由器和访问者都连接到连接到电缆的路由器,您的桌面距离互联网最“远”。
答案2
大多数 SOHO 路由器上的 DMZ 端口/设置不会将患病机器与正常机器隔离。DMZ 主机将获得相同的专用网络分配,因此将与其他主机位于相同的第 2 层域中。但是,使用第二个路由器可以防止广播域重叠。为了获得额外的保护,请在正常路由器上阻止来自受感染路由器的 WAN IP 的所有流量。
答案3
首先,普通的有线路由器在其 WAN 端口上使用 PPPoE,而不是 IP,因此,如果不购买特殊路由器,您是否可以像这样链接两个路由器。
如果您有第二个路由器,您可能希望将其放置在您的桌面和 Linksys 之间,以充当网络不安全部分和安全部分之间的防火墙。
最好使用装有两块网卡的旧 PC。最好是 3 块:
- 连接到互联网路由器
- 已连接到您的桌面
- 连接到恶意计算机
然后,您可以在所选的操作系统中设置 NAT 和防火墙,以隔离两个网络。或者,您可以在旧 PC 上安装预置的防火墙产品,例如 Smoothwall、IPCop 或 MonoWall 等。
+--------+
Desktop -----*s*------>|Nic 2 |
| |
| Nic 1|---------> Linksys
Rogue -------*s*------>|Nic 3 |
+--------+
例如,在 IPCop 中,接口将分配如下:
- 红色——不受信任的互联网连接
- GREEN——值得信赖的内部网络
- 蓝色 - 无法访问绿色网络但可以访问红色网络的附加网络。
根据网卡的功能,您可能需要使用交叉电缆或在配置中在图中 * s * 点处插入交换机,以将计算机连接到防火墙机器。如果您使用交换机,请确保使用2 个独立开关或者一个好的交换机,可以将端口隔离到单独的 VLAN 中,以防止绿色网络和蓝色网络相互访问的可能性。