我在一家社会福利中心工作,该中心由 5 个机构组成,彼此相距数公里。
其中 4 个已有效连接到 LAN,但其中一个无权访问,并且我正在考虑在局域网内的特定服务器上打开端口 445 和 139,以允许使用其外部 IP 访问共享文件。
问题:
1)这样做是否可行/合理?我可以使用其外部 IP 创建网络共享吗?
2)这是一个非常糟糕的想法吗?如果不是,有没有办法限制WHO无需硬编码 IP 即可访问这些文件?欢迎提出任何与安全相关的建议。
到目前为止我还没有尝试过,因为我们的端口转发是由我们的 ISP 管理的。
感谢您的时间。
答案1
您应该通过 VPN 连接您的位置。Lan 到 Lan VPN 或仅限制对您的文件服务器的访问。您可以准确地看到谁在连接到您的 LAN。并且您可以从 Active Directory 在您的服务器上使用正常的 SMB 访问权限。
您也可以使用 WEBdav 服务,但建议使用 VPN。
答案2
正如 DjangoUnchained 所说,SMB 协议版本 1.0 和 2.0 未加密,容易受到中间人攻击和窃听。
Windows 2012 上的 SMB 版本 3.0 确实提供了端到端的文件共享加密,但是正如 DjangoUnchained 所说,在这种情况下,站点到站点的 VPN 是您的最佳选择。