目前,我正在尝试使用 Windows 防火墙服务并选择“仅这些帐户”...但不起作用。通过选择上述帐户可以正常访问文件共享,但由于某种原因,无法访问 Web 服务器。
基本上,我在网络上有一个 POS 应用程序,有时人们进来并想使用我们的无线网络。这会将 POS 应用程序暴露给他们,而我不希望这样。起初,我以为我只需将 DHCP 设置为使用 100 及以上的地址,并仅允许低于该地址的 IP,但这并不十分可靠。如果我选择“用户帐户”路线,我将无法使用移动设备,而这正是我希望能够使用的东西(只是不能使用陌生人的设备)。我有什么选择?
操作系统是 Windows Server 2008。
我想另一个问题是“我该如何设置我的网络,以便任何无线用户都无法访问我的有线计算机所在的同一子网?例如,一些计算机在 192.168.0.x 上,而 DHCP 提供 192.168.1.x。我还需要所有计算机都能够使用互联网(互联网集线器作为 192.168.0.254 连接到主路由器,主路由器的 DHCP 为 192.168.0.1)。
答案1
在我看来,这里要关注的重点不是安全性或用户帐户(甚至不是 Windows 2008 服务器),而是如何构建网络(即放置路由器并进行适当配置)。公司一直在这样做,只要有合适的设备,实现起来并不难。
我建议为无线设备设置一个单独的子网。你的想法是对的:使用 192.168.1.x 作为有线子网,然后为无线设备使用一个单独的子网(例如 192.168.2.x)。
不要将无线路由器与有线设备放在同一子网中。这是什么意思?
假设整个建筑内分布着 20 个 RJ 45 端口。所有端口都连接到交换机,然后交换机再连接到为这些有线设备提供 DHCP 的设备。
不要简单地将无线路由器插入这些墙上端口之一。如果您确实想将无线集线器插入办公室墙上的端口,请将该端口从交换机中取出,并将其移至单独的交换机,该交换机仅为您的无线设备提供互联网。
无论如何,这就是我的做法...如果您拥有像思科这样的良好网络设备(以及专业知识),那么这种预防措施就不是绝对必要的,因为您只需设置单独的 VLAN 即可。