目前我有一个标准的 SOHO 路由器,我们连接它来浏览互联网等。当我在网络领域实习时,我想知道当我测试其他计算机时子网是否可以保护网络的其余部分。
例如,我想设置一个场景,在其中浏览互联网时不使用任何防病毒软件、反恶意软件等。如果我设置的其中一台测试计算机被感染,我想确保其他经常使用的计算机都不会被感染。
子网是否提供这样的安全性?如果不提供,我应该考虑哪种类型的设置以及如何设置?
答案1
这取决于子网是否设置为相互通信。如果是,则没有区别,而且会为您增加更多工作量。如果它们实际上是隔离的并且只能看到互联网,那么您应该是安全的。尝试 ping 单独子网上的计算机,看看您是否可以访问它。如果不能,并且防火墙已关闭,那么这可能是一个安全的选择。
在我的电脑店,我们将调制解调器插入交换机,然后将两个路由器从交换机上拔下。一个用于“技术”端,一个用于“受感染”端(即客户机器)
答案2
创建单独的子网实际上并不能提供任何额外的安全性,除非两个子网之间存在某种防火墙来过滤流量。
如果恶意软件要扫描其他网络以查找可以利用的系统,它们可能会从本地机器正在使用的子网开始,但这并不会停止,它只是开始扫描其他网络。
答案3
不同的子网对病毒传播的唯一影响是,如果特定的恶意软件只扫描本地子网作为扩展向量。子网只是意味着它必须通过第三层设备才能到达另一个子网。如果您在两个子网之间使用旧的 pix 或 ASA,那么一个子网将能够发起与另一个子网的联系,但反之亦然。这就是使用真正的 SOHO 防火墙而不是带有 DMZ 托管的 soho 路由器的好处。soho 路由器不会对 DMZ 主机进行隔离。这样一来,它实际上就不是 DMZ 或单独的网络。
如果您不想被受感染的 PC 感染,那么要解决此问题,可以使用真正的 soho 防火墙,该防火墙已设置了真正的 DMZ。在 flea-bay 上,pix 501 相当便宜。或者,您可以买一台带有三个网卡的旧电脑,并在其上安装 Linux 发行版...然后适当配置 ipchains/iptables。