LAN/vLAN 安全实施以允许有限的互联网访问

LAN/vLAN 安全实施以允许有限的互联网访问

我是一名程序员,对网络管理的了解有限,所以请耐心等待。

在我们的办公室,我们有两个 vLAN,vLAN10 和 vLAN20

广域网> [路由器] > [思科交换机] > [vLAN10 和 vLAN20] > vLAN10 和 vLAN20 上的客户端

vLAN10 可以访问互联网,而 vLAN20 无法访问互联网。两个 vLAN 都可以访问 NAS(作为两个以太网端口 vLAN10、vLAN20),因此 vLAN10 上的客户端可以访问 NAS 和互联网,而 vLAN20 上的客户端只能访问 NAS。

我们在 vLAN10 上的客户端上下载文件,将其复制到 NAS 上的共享文件夹,以便 vLAN20 上的客户端可以访问下载的文件。

针对上述情况,我们应该实施哪些安全策略?

其次,我们需要允许 vLAN20 上的客户端以有限的方式访问互联网,即仅访问允许的网站,不允许电子邮件、ftp 或其他服务,以防止他们通过互联网发送/上传文件等。

这可能吗?如何实现这样的策略?我们需要购买其他硬件吗?

提前致谢

答案1

您认为为什么现有情况需要任何安全策略?如果想法是防止 vLAN20 上的机器需要 Internet 访问,那么听起来它几乎可以满足您的要求。是的,这是一个两步过程,但假设为 vLAN10 上的用户制定了合理的规则,以便他们知道应该下载哪些文件并将其暴露给 vLAN20 机器。

您尚未解释此政策的意图,为什么需要让 vLAN20 上的机器脱离互联网。如果我们不清楚您正在使用的威胁模型,就不可能给出明确的答案。

现在假设您改变了主意,现在想要允许这些机器进行一些有限的互联网访问,最简单的解决方案是在 NAS 上安装 HTTP 代理(假设它是消费者/SOHO NAS,例如 Synology、QNAS)并确保 vLAN20 上的所有设备都配置为使用代理。

如何设置代理规则取决于代理,但我希望 Synology 之类的东西能够提供 Squid 作为其代理插件。但您必须将其严格锁定,以阻止人们访问基于 Web 的电子邮件或文件共享网站,因为大多数网站现在都提供通过 HTTP 访问,专门用于避免人们被困在 HTTP 代理后面。

值得了解的是,只要使用正确的工具并稍加思考,就可以通过 HTTP 代理建立完整的 VPN 隧道。

相关内容