我想让某人通过互联网以 RDP 或 Teamviewer 方式访问我网络上的服务器,但我不想让他们访问网络上的任何其他电脑。最简单的方法是什么?这只是暂时的,适用于我的家庭网络。
我知道我可以将端口 3389 转发到该服务器,但当他们使用 RDP 连接时,他们将能够访问该网络上的任何东西。也许只需授予他们域用户权限并使用内置的 Windows 防火墙拒绝所有传出到网络其余部分的流量?我认为有更好的方法可以使网络的其余部分隔离。
答案1
这正是DMZ(非军事区)是。它是您的本地网络(内部网)和 Internet 之间的网络,因此如果 DMZ 中的主机受到威胁,攻击者仍然无法访问内部网上的计算机(只能访问 DMZ 中的其他计算机)。
在您的情况下,“攻击者”是计算机的合法用户,但问题仍然相同。因此,您只需使用第二个路由器,并将您的本地网络路由器与有问题的计算机一起放入其中。然后第二个路由器必须连接到互联网。您的本地网络的互联网仍将正常工作(可能经过双重 NAT),但暴露的计算机无法通过内部路由器。
理论上,使用防火墙的另一种方法是可行的,但麻烦多于帮助,首先要配置防火墙,其次要确保没有忘记任何设置,第三不允许管理员访问(因为管理员可以更改防火墙规则)。DMZ 完成得很快,而且很安全。