我有多台计算机处于不安全的网络中(与第三方、不受信任的计算机连接)。我的计算机和第三方计算机都位于同一个防火墙后面。
目前,我电脑的软件防火墙配置为阻止网络上其他电脑的所有通信。不幸的是,这不允许我的电脑相互通信。我想修改设置,使我的电脑可以安全通信,但第三方系统无法冒充我的电脑或窃听我的电脑之间的通信。
问题:
- 我无法修改所有计算机所处的防火墙
- 我无法使用静态 IP
可以使用 VPN 或第二个硬件防火墙来实现吗?如果不行,还有其他解决方案吗?
我拥有所有计算机的完全管理员权限,可以添加任何所需硬件。我的所有计算机目前都使用 Windows 7。
答案1
VPN 听起来像是解决您问题的正确方法,请确保选择一个不依赖于静态 IP 的 VPN(该技术应该依赖于静态 IP,而是依赖于已安装的证书,但由于静态 IP 配置更简单,不能假设给定的 VPN 不依赖于它们)。
由于静态 IP 问题,第二个 F/W 或其他基于路由的解决方案将是一个困难的主张。
答案2
我在这里的回答中解释您的问题(而不是编辑其陈述)。
这样,如果我误解了,您可以通过评论帮助纠正(我会更新我的答案)。
- 您拥有一组计算机的管理员权限(将其称为组“
X”) - 这些位于面向 Internet 的防火墙后面
- 但是,这里还有其他计算机,您称之为
3rd party(称它们为组“Y”) - 您无权访问群组
Y机器 - 您希望确保群组
X机器通信的安全
您的要求看起来像典型的服务环境,从不同的来源获取合同工作,并需要跨来源划分所有活动。因此,每组与合同相关的机器都会将所有其他机器视为3rd party。但是,您在物理上进行这种划分会遇到困难——可能是因为合同工作的动态性质;这意味着设置会频繁更改。
您可能还处于租赁环境中,与其他人共享共同的周边安全保障。
另一个类比是防御网络。
你可以寻找MACsec基于解决方案的解决方案将保护您的网络通信。
这些解决方案将仅部署在您的(组X)机器上——您的其余内部网络对此是透明的。但是,您需要某种方式与组外的设备进行通信X。这可能是一些网关设备或一种不使用 MACsec 与这些机器进行通信的方式。
答案3
Windows 内置的一个可能的解决方案是 IPsec,它支持使用 X.509 证书、预共享密钥或 Kerberos 进行身份验证。