我想知道使用运行内部和外部接口的单个交换机来设置我的网络是否安全。
目前,我有来自 ISP 的 255.255.255.240 IP 块和从路由器运行的 10.10.10.0/24 私有网络。路由器有一个 WAN 端口,并将其中一个外部 IP 设置为静态 IP。所有计算机目前都脱离了私有网络。正在使用的交换机是 NETGEAR JGS516。
基本上当前的设置是这样的:
Computers ---- Switch ---- Router ---- ISP's Switch
我想要做的是这样的(基本上将路由器的 WAN 和 LAN 端口都插入交换机):
Router
/\
Computers ---- Switch ---- ISP's Switch
我尝试过这样做,似乎有效。我可以为计算机分配公有和私有 IP,它们都可以正常工作。
我之所以要进行此更改,是因为这样交换机后面的计算机就可以分配公有 IP。我希望其中一些计算机只具有公有 IP,一些计算机只具有私有 IP,而另一些计算机使用计算机中的单个 NIC 分配私有和公有 IP。
我想知道的是:
这种设置有什么缺点吗?
这会危及网络安全吗?
机器是否可以访问仅分配了私有 IP 的计算机?
还有什么我应该知道的吗?
答案1
恭喜你。你已经有效地消除了路由器为内部网络提供的所有安全性。
你需要做的是把东西放回原处并设置NAT在您的路由器上将适当的公共 IP 地址 NAT 为适当的私有 IP 地址。
答案2
这种设置有什么缺点吗?
安全性。您已分配公共 IP 的机器现在已完全暴露在互联网上。
这会危及网络安全吗?
是的。如果您的公共机器遭到黑客攻击,您很快就会发现您的非私密 LAN 也会出现问题。
机器是否可以访问仅分配了私有 IP 的计算机?
我猜你的意思是从公共网络?不,它们不能直接路由。但请参见上文。
还有什么我应该知道的吗?
是的,回到原来的方法。如果是 Cisco 或 HP 变体,您将设置 NAT 规则以将公共 IP 映射到内部服务器,然后添加特定的访问列表控制以锁定开放的端口,并在必要时控制源网络。
答案3
这只是意味着您不能将路由器用作防火墙,也不能将仅连接到公共网络的机器与仅连接到专用网络的机器隔离开来。大多数典型的家庭网络无论如何都不会做这两件事。因此,如果您正在构建典型的家庭网络,这不会有任何区别。