我有一堆属于不同客户的 Windows 服务器,每个服务器都有独立的面向公众的 IP 地址。
服务器还与我们的备份网络有第二个网络连接,这是一个用于备份流量的内部专用网络。
如果我们进入其中任何一台机器的“网络”,我们就会注意到它们可以互相看到。
我假设他们在备份网络上进行网络发现,因此可以在那里互相检测。除了禁用网络发现外,我还能做些什么来防止这种情况发生?
我不想禁用网络发现,因为用户可以将其重新打开,并且我需要客户端永久隔离。
提前致谢。
答案1
你的目标是什么?
如果要禁用网络发现,则禁用该服务。
如果是为了加强安全性,以便当一台服务器受到攻击时,它不能被用来访问其他服务器,那么您需要考虑以下几点:
使用软件(基于主机的)防火墙隔离或隔离每台服务器
使用硬件(例如 VLAN 和防火墙规则)隔离或隔离每台服务器。
在您的环境中引入微分段,这基本上是软件定义方法中上述所有内容的组合。
答案2
编辑- 根据评论,我应该做得更好来解释。
如果您想隔离电缆上的服务器通信,而不考虑您可能使用的任何服务,VLAN 是其中一个选项。VLAN(虚拟 LAN)是一种在数据链路层(OSI 模型第 2 层别名)隔离计算机的方法。您必须更改防火墙和路由以适应更改。
在 Windows 级别,您需要在 NIC 上启用标记(转到 NIC 属性,然后选择名为 VLAN 的选项)。在交换机上,您需要向 NIC 连接的端口添加多个 VLAN,标记将决定流量流向哪个 VLAN。
如果您有思科,您可以添加它(我更喜欢这个,因为它是非破坏性的)(例如 VLAN 10):
switchport trunk allowed vlan Add vlan10
或者你可以使用以下命令覆盖当前 VLAN 配置:
switchport trunk allowed vlan 10,20,30,90
推荐阅读: Vlan 与子网 - VLAN 在 OSI 第 2 层(数据)上工作,子网在 OSI 第 3 层(网络)上工作 -Vlan 或子网。
编辑评论:
@Cory Knutson - 您是说创建具有 /29 子网的 VLAN,并让备份服务器在每个 VLAN 中都有一个 IP?
取决于一个 VLAN 中可以有多少台服务器,如果只有一个,他可以有 /30 - 2 台主机(这将只有备份服务器和服务器本身 -> 不太实用)。如果他想要更多,这是未知的,他可能想要有 /29 为 6 台主机;/28 为 14 台主机等。你知道如何进行子网计算。
答案3
禁用网络发现:
- 通过 GPO 或本地 GPO 禁用,则该选项对于用户来说将变灰。
- 禁用服务(可以通过 GPO 完成)
- 或者通过 Windows 防火墙阻止它。(可以通过 GPO 完成)
如果您的用户是管理员,那么通过 Windows 进行阻止可能不是最佳选择。但至少域 GPO 会继续禁用它。