我在一家工业工厂工作,我们有一个网络(物理线路),既用于办公用途,也用于工艺系统。办公室计算机仅用于典型的办公需求,但偶尔会连接到工艺计算机以从 SQL 服务器获取信息或用于其他目的。
一项新的举措正在酝酿之中,并从企业层面陆续落地,那就是标准化计算机在工作中的使用方式,计算机将被严格锁定,只允许执行一组标准的应用程序。
其中一项要求是将非办公计算机与公司域隔离。我们的非办公计算机是人机界面和 SQL 服务器的混合体,所有运行的都是非标准的软件。
我的问题是,我们如何将控制系统计算机与公司域分离,但仍然可以从公司域访问服务器。
谢谢
答案1
考虑为每个角色使用不同的 VLAN,并使用防火墙在它们之间传递流量。当然,防火墙将以这样的方式配置,只允许适当的流量通过。
答案2
将两个网络完全分开,并在它们之间放置防火墙(或者只是隔离流程网络)。没有理由这样暴露流程系统。
完成此操作后,您必须考虑如何访问网络进程部分的数据库。有很多解决方案(端口转发、SQL 代理等),但我个人的建议是设置一个新的 SQL 服务器,在进程和用户网络中双重托管它,并将用户需要访问的所有数据复制到此主机。然后确保尽可能锁定 SQL 服务器。
答案3
如果你不想开始做一些花哨的网络活动,你可以这样做私有 VLAN. 更高端的思科交换机可以做到这一点。
答案4
我将第三个提出“vlan”声明。
使用支持 802.1q vlan 标记的交换机,然后为不同的功能设置不同的子网,然后在两个子网(路由器)之间的第 3 层跳跃处实现 ACL。
现在——这是最重要的补充——
在 L3 跳转和“公司”端的所有端口上添加速率限制,这样您的标准 PC 就不会淹没该链接并破坏“控制”网络。如果有人决定让公司网络上的一堆机器变成幽灵,导致您的机器人激光器蒸发掉半个工厂,那将是悲哀的一天……