在小型网络中(在我公司),我想阻止一些计算机(PC)访问互联网,以便这些 PC 中的敏感数据或文件不会泄露。但我仍然需要 PC 用户通过远程桌面访问互联网。
这是我公司的网络拓扑。(见下图)
主要设计要点为:
1、电脑上有一些敏感数据和文件,所以路由器阻止它们访问互联网。(路由器有一个简单的防火墙,可以通过 mac 地址黑名单阻止互联网连接)但电脑可以访问 LAN。
2、我有一台运行Centos的服务器电脑,并且我在服务器上创建了一个VNC服务器和一个FTP服务器。
3、为了能够访问网络,用户可以从PC通过SSH连接到VNC服务器,并在VNC远程桌面中打开浏览器(服务器被允许访问网络),如果用户想要下载一些文件,可以先在服务器上下载文件,然后将文件放到FTP服务器上。
4、从用户的PC,他可以通过FTP从服务器下载文件。
注1:VNC远程桌面不允许传输文件,即文件不能从PC传输到服务器。FTP服务器是只读的,即文件只能从服务器传输到PC。
注2:我想在centos的防火墙中添加一些iptable规则,以便服务器只能接受VNC连接,而不允许服务器访问PC。(我的意思是如果PC可以简单地运行HTTP文件服务器,然后服务器可以将文件从PC下载到服务器,但这种行为应该被服务器的防火墙阻止)
我的问题是:这种方式安全吗?我想要实现的只是让 PC 中的数据/文件永远不会泄露,但我仍然允许 PC 用户通过远程 VNC 桌面访问互联网。而且数据只能通过这种方式传输:从互联网到服务器,然后从服务器到 PC。
还有其他方法可以实现这个吗?