在我们当前的网络上,我们有一个无线路由器和一个千兆 16 端口交换机。如果一台机器连接到无线网络,它们就可以访问网络中的所有本地机器。这可能是一个安全风险,因为这是一家 PC 维修店,我们让机器仍然连接到网络。
我想要做的是,使用单独的无线路由器(在本例中为 Netgear WGT624),设置仅限互联网的无线网络,然后可能禁用主无线路由器上的无线网络。
我已经设置了一台 Windows Server 2008 R2 计算机,它运行 DNS 和 DHCP 以及 AD、Sharepoint Services、MDT 和 WDS。Active Directory 实际上仅用于 MDT。
我该如何进行,或者您建议我如何以这种方式进行设置?
答案1
您可以将 NAT 路由器串联起来,一个接一个。最靠近互联网连接的第一个 NAT 可以是无线网络,只能访问互联网。第二个 NAT 可以包含有线网络,也可以禁用其无线功能。
此配置将保护有线网络不受无线网络的影响。只需确保两个 NAT 网络的 IP 计划不冲突即可。
答案2
您有几种可能性。
第一,你可以得到一个无线接入点,可以配置为专门阻止无线客户端互相看到。价格昂贵,你可以从思科等公司获得选择,它们像腻子一样灵活,像航天飞机一样复杂。但一旦你设置好了它们,你就可以开始了。这会让你得到一个像你在星巴克/B&N/等看到的设置。
第二,设置一个防火墙系统,保护您的系统。另一边是带有公共无线 AP 的交换机,并保留一个 IP 块,以便防火墙阻止来自该 IP 块的所有传入流量。便宜,不太优雅,并且需要维护人员的文档。但你暗示你经营一家小企业,所以你有可能摆脱这种安排。
第三,货比三家,购买专门阻断无线和有线的 SOHO 路由器。这样做的缺点是:A) 阻断你自己的无线和有线端;B) 根据我的经验,任何 SOHO 路由器在一两年后都会出问题,所以如果第一台路由器出问题了,你还要继续买一台类似的路由器作为备用,这会很麻烦,而且你需要特定的功能集(我最终买了一台单独的无线 AP 和一台交换机,只是一个开关这样我就可以减少家庭网络的问题。)
对于小商店,我可能会选择防火墙解决方案。它提供了灵活性,如果您是一家喜欢让技术人员从优秀项目中学习东西的小商店,它可以让您获得配置此类机器的经验,并了解一些路由和阻止规则以及有关网络工作原理的信息。它还需要一点计划,以了解如何划分网络块并安排分发内容(因为如果您要阻止受保护网络的流量进出不安全系统块,您需要一种将 IP 分发给不安全系统的方法,这种方法与您的内部 DHCP 服务器是分开的,本质上是创建两个在您的整体分配块中共存的网络。)
答案3
我会通过安装真正的防火墙来实现这一点,比如相对便宜的 SonicWALL。如果您不想购买新的防火墙,您可以在 eBay 上以大约 125 美元的价格购买 TZ190。然后您可以创建一个 DMZ,并在该 DMZ 上放置一个无线接入点。