我的小公司有几台网络打印机和 IP 摄像机,它们都在同一网络下。这会带来潜在的安全风险:任何人都可以使用任何打印机进行打印,任何人都可以篡改摄像机系统(通过在计算机上安装 Hikvision SADP 工具,获取摄像机序列号,然后请求当地经销商重置密码)。
我对网络管理还很陌生,需要一些建议来解决这个问题。我不需要分步说明,只需要一般指导。我很确定这个问题很简单,而且有多种方法可以解决它。
目前,我的网络设备非常基础:ISP 提供的 GPON/路由器/交换机组合(我认为它有很多高级功能,尽管我不太熟悉它们,并且仍在学习)和几个哑交换机。不过,如果需要的话,我可以买得起更好的。
答案1
阅读您的问题时我首先想到的是使用防火墙规则,直到我看到您提到几个愚蠢的开关。
既然您说您是网络管理新手,我将向您解释其中的一些内容背后的机制以及一个(希望)简单的解决方案。
防火墙有 ACL(访问控制列表),基本上只是控制哪些 IP 地址可以去往何处。您 ISP 的路由器/交换机组合内置有防火墙。我无法知道,但我猜想它足够先进,可以让您创建防火墙规则。您可以使用这些规则允许或拒绝从源到目的地的流量。如果您没有任何额外的交换机,那么就够了,我们就完成了……但交换机是另一回事。
如果网络流量的目的地是连接到同一交换机的另一台设备,则哑交换机中的网络流量将不会通过防火墙。交换机使用一种称为 MAC 地址表的东西。MAC 地址是分配给所有网络硬件的唯一十六进制数字。交换机记录哪些 MAC 地址通过哪个端口进行通信。当网络流量进入时,交换机会查看目的地 MAC 地址,以确定应通过哪个端口发送。如果目标 MAC 连接到同一交换机上的交换机端口,则它会直接路由到该设备,从而完全跳过防火墙/路由器。
使用现有硬件您可以执行以下操作:
- 将所有摄像机插入同一个交换机。
- 将该开关插入调制解调器/路由器/防火墙
- 确保您要限制使用摄像头的任何设备都没有与摄像头插入同一个交换机。
这将使得所有不是来自该交换机的流量通过防火墙,并被任何防火墙规则捕获。
至于您的打印机安全。这可能最好通过您用于共享打印机的任何机制来管理。我会只与需要访问权限的特定用户共享打印机,而不是“所有人”。
答案2
设置了 VLAN 的托管交换机。通常就是这样做的。
这样,您就可以让一个以太网从一个区域运行到另一个区域,但您可以在末端拥有多个无法相互通信的不同设备。它们可以设置为只能与另一端的特定 LAN 端口通信。例如,只能允许相机从计算机插入的以太网端口接收数据,但位于同一位置的打印机可以从启用 VLAN 的交换机上的任何以太网端口接收数据。
编辑:在第 2 层,进入托管交换机的所有内容都会根据您在交换机上设置特定端口的方式进行标记。当以太网帧从 LAN 的 VLAN 部分出来时,如果端口允许该特定标记离开端口,则可以删除其 VLAN 信息,主机甚至不知道 VLAN 正在使用中。您可以设置允许离开的任何标记,或允许所有标记。