允许通过外部 IP 访问共享文件是一个坏主意吗?

允许通过外部 IP 访问共享文件是一个坏主意吗?

我在一家社会福利中心工作,该中心由 5 个机构组成,彼此相距数公里。

其中 4 个已有效连接到 LAN,但其中一个无权访问,并且我正在考虑在局域网内的特定服务器上打开端口 445 和 139,以允许使用其外部 IP 访问共享文件

问题:
1)这样做是否可行/合理?我可以使用其外部 IP 创建网络共享吗?

2)这是一个非常糟糕的想法吗?如果不是,有没有办法限制WHO无需硬编码 IP 即可访问这些文件?欢迎提出任何与安全相关的建议。

到目前为止我还没有尝试过,因为我们的端口转发是由我们的 ISP 管理的。
感谢您的时间。

答案1

您应该通过 VPN 连接您的位置。Lan 到 Lan VPN 或仅限制对您的文件服务器的访问。您可以准确地看到谁在连接到您的 LAN。并且您可以从 Active Directory 在您的服务器上使用正常的 SMB 访问权限。

您也可以使用 WEBdav 服务,但建议使用 VPN。

答案2

正如 DjangoUnchained 所说,SMB 协议版本 1.0 和 2.0 未加密,容易受到中间人攻击和窃听。

Windows 2012 上的 SMB 版本 3.0 确实提供了端到端的文件共享加密,但是正如 DjangoUnchained 所说,在这种情况下,站点到站点的 VPN 是您的最佳选择。

相关内容