以下设置:
我想将一台机器(运行 Windows Server 2008 R2)添加到我们的家庭网络,以便这台机器可以访问互联网,并且可以通过 RDP 从外部(特别是另一个国家/地区)访问它(具有完全管理员权限)。我想将 RDP 访问权限授予一些人,他们将在这台机器上为我维护一些东西并定期对其进行一些工作。他们还应该拥有完全管理员权限,可以在这台机器上安装他们需要的任何东西。现在 - 我相信这些人会执行的任务,但我不想牺牲这个网络中其他机器(尤其是我家人的计算机)上私人数据的安全性。
因此 - 要求是:
- 运行 Windows 服务器的机器,物理上位于我的家里(因为我需要定期对其进行物理访问,因为它连接了一些测试设备)
- 从家庭网络外部以完全管理员权限通过 RDP 访问此机器
- 不会给家庭网络中的其他计算机增加安全风险
有没有办法在网络基础上隔离这台机器,以便可以通过互联网访问它,但不能与家庭网络内的其他机器通信?
欢迎任何建议
答案1
使用消费级设备实现此目的的方法是使用 3 路由器 Y 配置
通过使用同一子网但在不同的“LAN”上设置两个路由器,不可能的一个网络可以与另一个网络进行通信。
可以这样想:LAN A 上有一台计算机,其 IP 为192.168.1.2,LAN B 上有一台新服务器,其 IP 为192.168.1.3。如果您在 LAN A 上发出请求,192.168.1.3它将转到 LAN A 的路由器,并看到这是对子网的请求192.168.1.x,因此不会将数据包转发到链上。它还看到它不认识任何计算机,并向192.168.1.3原始计算机报告“目标主机未知”。如果我们请求除 之外的任何其他 IP,192.168.1.x它将使用网关并继续连接到互联网以尝试解析您的 IP 连接。
对于端口转发(以上面的图片为例),您需要将端口 3389(RDP 端口)转发到顶部路由器上的 192.168.0.102。然后在右侧路由器上再次设置端口转发,这样 3389 就可以转到新服务器的 IP 了。
这为您的家庭网络提供了全面的安全保障。
答案2
嗯,我对此不是 100% 确定,但是当连接到网络时,Windows Vista 及更高版本(以及相应的 Sevrer 版本)会询问您网络是公共网络、工作网络还是家庭网络。如果将其设置为公共网络,则可以访问 Internet,但无法访问连接到同一网络的任何其他 PC。但我不知道这是否会影响 RDP,或者您可以简单地设置防火墙和路由器以允许远程访问。尝试一下看看是否有效。如果有效,那么这就是您所需要的。您可以远程控制计算机,执行一些操作,但服务器无法访问其他 PC,因为默认情况下文件共享是禁用的。作为另一种选择,您可以转到其他 PC 并禁止使用其计算机名称或 IP 访问服务器。我不知道该怎么做,可能从 Windows 防火墙开始。
答案3
获得足够的安全级别的关键是实施多层防御,包括技术和程序层面:
验证- 设备的相互认证(通过证书)可帮助您确保只有正确的客户端才能连接到服务器,并且客户端知道它正在连接到服务器
隔离- 将服务器放置在 DMZ 上,连接到 Internet,但不连接到您的网络。要创建此 DMZ,您可以使用防火墙或带有访问控制列表的路由器,并将它们配置为拒绝从此服务器到任何其他设备的所有连接 - 仅允许从客户端到服务器的连接(以及它的响应)。
修补- 保持服务器(和防火墙)处于最新状态可防止攻击者利用已知弱点绕过您的控制。
答案4
是的,可以这样做。由于您在家中,可能没有企业级防火墙,因此最好的办法是在面向互联网的路由器上设置 NAT,以将 RDP 端口转发到需要 RDP 访问的机器上。这样,除非您明确允许,否则防火墙会保护其其他服务免受访问(这就是 NAT 的魅力所在)。从面向互联网的路由器在您的家庭网络内建立两个连接:第一个连接到提供 RDP 的计算机,第二个连接到另一个路由器。将第二个连接插入第二个路由器的 WAN 接口(通常标记为“Internet”)。然后将您的普通家用机器插入第二个路由器(或连接到第二个路由器的无线接口)。确保路由器位于不同的子网中,否则您将遇到大问题。最简单的策略是将面向互联网的路由器设置为 IP 192.168.1.1/24,将第二个路由器设置为 192.168.2.1/24。使用此设置,您只需将您的面向互联网的 IP 地址提供给您的朋友,并尝试通过 RDP 连接到它。面向互联网的路由器将接收 RDP 端口上的数据包并将其转发到相应的系统。由于该系统位于第二个路由器的 WAN 端,因此它将无法访问第二个路由器 LAN 端连接的任何系统,因此您的其他系统将是安全的。