我有一个小型网络,想将其中一台计算机与整个网络隔离。
我的网络:
<----> Trusted PC 1
ADSL Router --> Netgear dg834g <----> Trusted PC 2
<----> Untrusted PC
我想在网络中隔离这台不受信任的PC。
这意味着网络应该是安全的:* ARP 中毒 * 嗅探 * 不受信任的 PC 不应该看到/访问网络内的任何其他计算机,但可以访问互联网。
- 静态 DHCP 和交换机的使用解决了嗅探/ARP 中毒的问题。
我可以在计算机之间启用 IPSec,但真正的问题是嗅探路由器和其中一台受信任的计算机之间的流量。
为了获取新的 IP 地址(来自同一台计算机的第二个 IP 地址),我需要一个具有端口安全的防火墙(我认为),或者我认为我的 ADSL 路由器不支持这一点。
总而言之,我正在寻找一款可以将一个端口与网络其余部分隔离的硬件防火墙/路由器。您能推荐一款这样的硬件吗?或者我能否使用我当前的网络轻松实现这一点?
答案1
解决方案 1:将不受信任的 PC 隐藏在另一个路由器下。这将解决 arp-spoofing/mitm 问题。
解决方案 2:使用任何带有DD-WRT 固件。您可以在那里设置不同的无线局域网,甚至将它们放在不同的 VLAN 中。可惜它不支持 ADSL 调制解调器。
答案2
具有多个物理接口(至少 3 个)或虚拟接口(VLAN)支持的防火墙将为您解决此问题。我认为 Linksys 销售的 SBS VPN 路由器可以廉价地实现此目的。
答案3
我无法具体推荐一种设备,但你描述的情况被称为非军事区并且通常用于将服务器排除在网络的其他部分或其他网络本身(例如互联网)之外。
答案4
我最喜欢的解决方案...Astaro 安全网关- 免费用于非商业用途 - 下载软件并将其放在带有几个额外网卡的旧电脑上 - 使用路由器作为接入点。
-- NIC #2 - router - TRUSTED PCs
DSL Modem -- NIC #1 - PC running ASG -
-- NIC #3 - UNTRUSTED PC
此外,Netgear 网站显示设备您列出的计算机具有“暴露主机 (DMZ)”功能。不确定这是否意味着“暴露”计算机与网络的其余部分隔离,尽管手册应该明确说明这一点。
或者,将不受信任的 PC 放在第二个路由器后面保存TheRbtz建议。这将保护受信任的 PC交通保护受信任的 PC 免受不受信任的 PC 的攻击,但无法保护受信任的 PC 免受受威胁的不受信任 PC 的攻击。
-- Router 2 -- Untrusted PC
DSL Modem -- Router 1 -
-- Trusted PCs
编辑:将不受信任的 PC 放在路由器后面。这解决了最初关于不受信任的 PC 看到受信任的 PC 流量的问题
。-向 SaveTheRbtz 致歉