我想知道如何最好、最轻松地设置网络上的一台 PC,使其无法看到其他 PC 或访问其任何资源。该 PC 仍必须能够访问 Internet。
我希望它表现得像 Windows 网络发现已关闭一样。但是,用户不应该能够覆盖此设置(用户将是隔离 PC 上的管理员)。也许有办法使用组策略来做到这一点?
DMZ 似乎风险太大,而 VLAN 可能对于我们要做的事情来说太复杂了。我还查看了 Windows 防火墙规则,但想不出一个似乎可行的规则。
简单的隔离就够了。我们不希望被隔离的 PC 上的用户试图入侵网络。我们只是希望他们不会意外进入网络。
非常感谢任何建议或指点。
答案1
为了实现“可靠隔离”,您必须使用 VLAN(用于分离)和防火墙(“重新连接”到共享互联网路由器,但只让互联网流量通过)。
您可以通过 Windows 防火墙阻止传出到网络的流量(看这里),但这不是很安全,因为防火墙位于客户端本身,可以被禁用或简单地传递(例如通过在该网络端口上使用不同的客户端)。
除此之外,您现有的路由器/防火墙/交换机设备可能有一个内置选项来将客户端与网络的其余部分分开,但这取决于您实际使用的设备以及网络设置方式。
使用单独的路由器看这里也应该可以工作(取决于路由器,需要正确设置一些操作,以便客户端只能访问互联网,而不能通过第二个路由器访问 LAN):
Switch <---> 2nd Router, NAT enabled <---> PC
注意:LPChip 是对的,“禁用 LAN 端口的访客 wifi”是最简单的选项。如果他愿意,我会让他发布答案。
注 2:访客网络似乎仅通过 WLAN 受支持。因此,对于有线以太网,您需要使用其他解决方案之一。