Security

為網路伺服器僅對網路上的某些電腦/設備進行身份驗證的最佳方法是什麼?

  • December 18, 2011

目前我正在嘗試使用 Windows 防火牆服務並選擇“僅這些帳戶”……但這不起作用。對文件共享的正常訪問是通過選擇所述帳戶而不是出於某種原因而不是對 Web 伺服器進行的。

基本上我在網路上有一個 POS 應用程序,有時人們進來想使用我們的無線網路。這會將 POS 應用程序暴露給他們,我不希望這樣。起初我以為我只是將 DHCP 設置為使用 100 及以上的地址,並且只允許低於該地址的 IP,但這不是很健壯和可靠。如果我走“使用者帳戶”路線,我將無法使用我希望能夠使用的移動設備(而不是來自陌生人的設備)。我有哪些選擇?

Windows Server 2008 是作業系統。

我想另一個問題是“我如何設置我的網路,以便任何無線使用者都無法訪問我的硬連線電腦所在的同一子網?即,某些電腦在 192.168.0.x 上,而 DHCP給出 192.168.1.x。我還需要所有電腦都能夠使用網際網路(網際網路集線器以 192.168.0.254 連接到主路由器,其 DHCP 位於 192.168.0.1)。

在我看來,這裡要關注的不是安全或使用者帳戶(甚至是 Windows 2008 伺服器),而是您如何建構網路(即放置您的路由器並適當地配置它們)。公司一直都在這樣做,並且使用合適的設備,實現起來並不難。

我建議為您的無線設備設置一個單獨的子網。您的想法是對的:將 192.168.1.x 用於您的有線子網,然後為您的無線使用單獨的子網(例如 192.168.2.x)。

不要將您的無線路由器與有線設備放在同一子網中。我是什麼意思?

假設您有 20 個 RJ 45 埠分散在整個建築物中。它們都連接到交換機,然後連接到為這些有線設備提供 DHCP 的任何設備。

不要簡單地將無線路由器插入這些牆壁埠之一。如果您確實想將無線集線器放入辦公室牆壁上的埠,則將該埠從交換機中取出,並將其移至一個單獨的交換機,該交換機只是為您的無線設備提供網際網路。

無論如何,這就是我的做法…如果您擁有像 Cisco 這樣的良好網路設備(以及專有技術),那麼這種預防措施就不是絕對必要的,因為您可以設置單獨的 vlan .

引用自:https://serverfault.com/questions/342148