大多数现代路由器都支持创建“访客” Wifi 网络,以便访客可以访问互联网,同时将他们与网络的其余部分隔离,但有线客户端却无法做到这一点。
在“每个(电缆)端口”基础上实现相同目标的方法是什么?假设我的路由器有 4 个 LAN 端口,3-4 连接到允许访客访问 Internet 的接入点,我该如何设置才能让这些访客与 Windows 网络的其余部分隔离?(LAN 端口 1-2 + 主路由器的 Wifi = Windows 网络,连接到端口 3-4 的 AP 的 Wifi 应该被隔离)
答案1
这可以通过支持单独安全区域的路由器/防火墙来实现。然后,您可以配置防火墙规则,以精确控制允许在各个区域之间传输哪些流量(如果有)。
在您的案例中,您需要将受信任的端口和路由器的内部无线分配给 LAN 区域,将不受信任的端口(3 和 4)分配给 DMZ 区域。然后,您需要配置防火墙规则,以允许 DMZ 区域仅访问 WAN 区域(互联网)。如果没有任何规则允许 LAN 和 DMZ 区域之间的通信,它们将完全相互隔离,但两者仍可访问互联网。
Dell SonicWall 是支持此功能的一个示例产品线。