随着公司信息不安全性的增加,我尝试提高网络的安全性,但在实施过程中遇到了问题。目前,我公司的每个人都有自己的电脑,有些电脑是共享的,他们可以访问整个公司网络,甚至他们永远不需要的东西,所以这是一个真正的安全问题。
数据访问不是问题,因为管理是在每个人的识别过程中正确完成的。但是,每个人都可以访问工具(远程桌面、引擎配置等):
我担心有人会侵入我的内部网络,并能够下载/修改我的引擎配置、控制远程桌面等。我希望能够物理地分离我的不同网络,以便每个人一次只能用他们的计算机访问一个网络(wan 或 lan1 或 lan 2):
我从亚马逊并且它运行良好(只有两个独立的网络)。但现在有些人需要能够在 3 个或更多网络之间切换,因此它变得更加复杂。有人有什么想法吗?我想要一个无法被黑客入侵的解决方案,我使用机械解决方案,因为它最安全,但如果有一些等效的解决方案,我愿意接受。如果可以为每台计算机设置权限以限制网络访问(例如 RH 区域只需要 RH 和 WAN 访问),那就更好了。现在,我只需要将人们连接到正确的网络,这样它就可以正常工作。PS:所有计算机和引擎都在 Windows Pro/Linux(Debian、Ubuntu 等)上
答案1
您的网络图存在缺陷。您必须做的只是定义所有 VLAN/LAN,而金字塔顶端的防火墙将根据您设置的规则决定哪些可以与其他 VLAN 通信,哪些可以传输到 Internet。
获取支持VLAN的交换机,以及支持多VLAN的防火墙。
例如,工业工厂的网络经常被阻止连接到互联网,因为大多数情况下此类设备本身就已经过时且在互联网上不安全,并且由于同样的原因与其他局域网隔离。
答案2
我希望能够物理地分离不同的网络,以便每个人每次只能用自己的计算机访问一个网络
这并不能提高安全性。一旦连接,没有什么可以阻止入侵代码访问敏感设备。
正确的做法是定义安全区隔开防火墙。安全区域可以是单独的网络交换机,但也可以只使用 VLAN。
- 将每个红色和蓝色框设为一个 VLAN。明确定义从一个 VLAN 到另一个 VLAN 可以使用哪些协议以及可以使用哪个方向来创建连接。将这些定义制定成防火墙规则。
- 定义互联网访问限制规则。仅允许工作所需的内容。如果无法做到这一点,请使用 SSL 深度检查的全面内容过滤来禁止加密以绕过内容过滤器。(此项可能需要您聘请一位优秀的顾问。)
在那里,你会得到相当好的安全保障。