我有一个朋友经营一家小公司,需要保持 PCI 合规性。他还想允许远程访问网络上的安全摄像头 DVR,但这样做会破坏他的 PCI 合规性,因为它会打开一个端口(我认为是 80)。
我的朋友怎样才能轻松地使他的网络的外部扫描显示没有开放端口,同时还能以某种方式远程访问 DVR?
答案1
最好的解决方案是实施 VPN,用户可以远程连接到该 VPN,从而访问 LAN 内的系统。如果这不是一个选项,您可以为 DVR 创建 NAT 端口转发,但配置防火墙规则,使该端口上的流量仅限于一个公共 IP。不用说,这种解决方案要求来自外部的 DVR 请求始终来自同一个 IP 地址。
注意:往返于 DVR 的流量完全未加密。这不是理想的情况。考虑在该机器上实施 HTTPS 以保护与系统交换的凭据和数据。如果这不可能,那么上述 VPN 解决方案确实是安全方面唯一可行的选择。
答案2
- 您可以安排端口仅在特定时间开放
- 您可以仅打开特定 IP 的连接端口
这样,大多数时候,大多数来源的所有端口都将关闭