有时,我的一些同事会觉得非带孩子上班不可。(我觉得自己非打他们不可,不过这可能是 Parenting.SE 的话题。)为了确保这些顽皮的孩子不会妨碍任何人,我的老板让我在休息室里设置了几台旧电脑供他们玩。为了确保他们不会毁掉一切,我将一个 4 端口以太网集线器连接到我们电缆调制解调器背面的一个空端口,并将这些“好玩的”电脑放在自己的子网上。这样,他们就可以访问互联网,但他们不属于我们的网络。(至少,这是我所指望的。)
我们已经使用这个设置大约一个月了,Facebook 的强大功能让我们远离了孩子们(或多或少)。今晚,当我对所有系统进行例行维护时,我决定看看孩子们都在干什么。显然,他们已经主动抓住了互联网上曾经存在的所有可疑恶意软件。我在系统上设置了密码(这样在我解决问题之前他们就无法登录)并关闭了系统,但突然间我非常担心 - 这些系统是否有办法访问我们的内部网络?此外,我有点担心他们可能已经获得了一些可以获取他们个人信息的东西。
显然,我的下一步是清理计算机并授予它们仅限用户的访问权限,但我想知道 - 这些系统是否对我们的网络构成威胁?
如果我之前没有表达清楚的话,这里有一个简短的图表:
|
|
|
Internet
V
|
|
|Cable Modem|
| L___________________
| |
| |4-port switch|
| |
|Router/DHCP Server| |
| / Firewall | [Kids' Computers]
|
|
|Network Switch|
|
|
[Rest of Network]
谢谢您的任何意见。
免责声明:我喜欢孩子。真的喜欢。我只是讨厌打扰和大喊大叫,我认为这完全合理。
答案1
答案2
至于孩子泄露 PII,那是他们父母的担忧,而不是你。根据你的画,我认为你很安全,因为看起来孩子的网络在你的防火墙之外。防火墙拒绝来自外部的入站流量,除非你通过防火墙规则明确允许流量。如果你允许内部服务器的入站 HTTP、SMTP 等流量,那么孩子利用它的风险不会比普通公众更大。
答案3
只要这两个网络不可路由,您就不会遇到问题。如果您直接使用儿童网络上的电缆调制解调器进行连接,而企业网络位于防火墙后面,该防火墙还连接到电缆调制解调器上的另一个端口,那么看起来您应该不会遇到防火墙无法阻止的任何问题。
您可能要补充的一点是,确保防火墙外部的数据不会被儿童网络嗅探到。您应该能够使用为儿童网络设置的某种 DMZ 区域来做到这一点。
答案4
让孩子们仅使用 IPv6 连接。
这样一来,他们就只能访问少数几个网站。大部分都是好的网站,比如 Facebook、Google、Youtube……