我的雇主为我提供了一台工作电脑,一台 MacBook,里面有机密/专有信息。我想将它连接到我的家庭网络,但担心 a) 我的雇主可能会记录或监控来自其他连接设备的流量,或者 b) 连接到我家庭网络的用户可能会访问我工作电脑上的数据/流量。
我该如何在不牺牲互联网速度和稳定性的情况下隔离我的工作计算机?我设想某种隔离子网或子网间防火墙,或者可能只是将其放在访客网络上?如果这很重要,我有一台 Netgear Nighthawk 路由器和 Verizon FIOS。
答案1
有多种方法,从最过度到最不过度:
- 完全独立的 ISP 和网络硬件。例如,购买一条商业互联网线路,将其调制解调器连接到单独的路由器,将 MacBook 连接到该路由器。从概念上讲这是最简单的,但也是最昂贵的。
- 同一 ISP,独立硬件。例如,至少有一个共享硬件(通常是路由器)负责划分家庭和工作网络,这是它的唯一用途。该路由器将路由到家庭和工作路由器,然后由它们处理各自的设备。需要更多硬件,并配置该硬件。
- 相同的 ISP、相同的硬件,VLAN。例如,您可以使用现有的路由器,并将其配置为对特定端口使用单独的“工作”VLAN。使用此配置,两个网络看起来似乎是物理隔离的;也就是说,它们都可以使用相同的子网。需要支持 VLAN 的硬件。通常,这是消费硬件上不具备的商业功能。
- 相同的 ISP、相同的硬件、不同的子网。例如,工作地址为 192.168.1.0/24,家庭地址为 192.168.2.0/24。配置防火墙以不允许这些子网之间的通信。设置每个单独网络的 DHCP 服务器和 WAN IP 可能需要配置,并且消费者路由器可能会或可能不会公开此功能。
我将从选项 4 开始。如果您的路由器支持使用不同的 SSID 定义多个无线网络,那么这通常是它们实现它的方式(单独的子网,彼此之间有防火墙隔离)并且可能就足够了。
如果没有其他措施,设置一个“访客”无线网络,并使用密码,并且对您的工作机器所连接的带宽没有其他限制,就足够了。