2在同一个交换机安全吗?
我有一个5端口的调制解调器。 每个端口从networking获取静态IP地址。 基本上,如果我从家里ping其中一个静态IP地址,我直接ping这些端口之一。
在第一个端口上有我们公司的路由器/防火墙,然后是交换机,所有的公司都通过同一个公共IP访问互联网。
如果id将调制解调器的第二个端口直接连接到交换机会发生什么?
我的期望是没有任何事情发生,因为它有一个不同的子网,并且可以从单个工作站绕过服务器,只需更改LAN适配器设置即可。
- 为什么arpcaching存储在机器和交换机中?
- 如何重置交换机上的所有端口以自动协商
- 如何通过千兆以太网路由器连接到局域网的计算机的性能最大化?
- closures电源Cisco MDS 9506
- 交换机pipe理软件
我对吗? 它是否安全或会造成安全漏洞?
我需要归档的是有些计算机应该能够在某些情况下绕过防火墙。
谢谢!
你的图在澄清这个问题上有很大的帮助。
当且仅当您的大型交换机是可pipe理的,并且您可以configurationVLAN以强制将路由器外防火墙stream量与路由器内部防火墙stream量分开时,您所做的是可以的。
当内部机器需要临时移动到外部LAN时,可以更改其适配器设置, 并告诉交换机将其端口从内部VLAN中移出并添加到外部VLAN中。
否则,只要是有人发现在外部networking上给自己一个接口别名,并且完全避开了防火墙,或者某个已经入侵了其中一个外部盒子的人注意到,如果他们给自己一个别名networking,他们已经绕过你的防火墙,你的公司局域网是在他们的处置。
如果你这样做是为了故意避开这种分离,那么你承担了巨大的风险。
编辑 :如果交换机没有执行这种分离,那么究竟是什么原因使您认为计算机一次只能在两个局域网之一上? 假设我是一个攻击者,而且我已经把当前连接到调制解调器(这本身就是一个交换机)的一台机器打包了。 我们将这台机器叫做ALF。
我现在给ALF一个接口别名,并为内部networking提供一个合适的地址(通过在混合模式下观看ALF NIC上的ARP广播,我可以很容易地推断出它的存在和寻址)。 现在,我可以直接PING – 从而攻击服务器,而防火墙不会看到我的stream量。
我会再说一次,所以很清楚: 如果你用一根电缆绕过你的防火墙到主交换机,并且不要安排这个电缆的stream量远离你的主networking,死了 。
您不会从Web获得IP地址。
如果将两台DHCP服务器连接到同一个交换机,事情可能会以意想不到的方式开始。 有几种方法可以解决这个问题,但是它们很容易出错,为什么不使用更安全的方法,将一台计算机直接连接到所需的交换机端口而无需通过交换机?
还有其他的解决scheme,但是它们需要pipe理交换机或者对ISP发送的DHCP回复进行一些控制:
- 在交换机上过滤DHCP数据包
- configurationDHCP服务器只响应某些MAC地址
- 禁用DHCP服务器将回复传递给调制解调器,并在要通过调制解调器直接通信的计算机上使用静态IP地址。
- 使用VLAN