我们刚买了一台机器作为我们的内部生产服务器。 出于安全原因,我们不希望这台机器连接到互联网。 但是,我们确实拥有一个拥有wiki的内联网,办公室中的所有工作站都需要能够访问我们的内联网上的页面。 我不明白这是怎么做的,因为如果服务器连接到路由器,它会自动在互联网上(据我所知),如果服务器没有连接到路由器,我不'不知道其他工作站如何能够看到它。
据我所知,也许让我们所有的工作站(连接到互联网)连接到服务器的想法,使服务器不在互联网上的目的。
我的问题是:把我们的服务器连接到连接到互联网的机器上是不是一样糟糕,因为它将服务器连接到互联网本身? 如果没有,是否有一种简单的方法可以让我们所有的办公室的工作站连接到服务器?
这取决于你为什么不希望它连接到互联网。 如果你不希望互联网上的人可以浏览它的内容,那么它是一个简单的情况下configuration(或不configuration)你的路由器,以便它不会将请求路由到新的服务器。
如果您担心因特网访问,因为您不想让用户使用它来下载山洪,色情或任何其他不可靠的互联网内容,那么使用路由器/防火墙的function来阻止它从互联网是要走的路。 当然,这取决于你的路由器有多复杂。
如果你担心它抓到一些讨厌的东西,那么我不认为阻止互联网访问是必要的。 确保没有来自互联网的传入stream量被路由到它,确保它的防火墙正在运行,并且已经打补丁,并有一个政策,说它不应该用于互联网浏览。 如果人们可能会忘记,然后给它一个静态地址,没有默认网关(假设您的networking只有一个子网)。 那么任何违反这一政策的人都必须谨慎行事。
当然,如果可以的话,你可能还有其他的阻止互联网访问的原因,如果你能告诉我们,也许我们会有更好的build议。 有关路由器和networking其他部分的更多信息也可能会有用。
您需要使用适当的防火墙ACL来保护您的内部服务器。
在这个“服务器”上设置一个静态IP,不要给它一个默认网关。 它不能通过路由器find互联网的路由,只能通过局域网访问。
只需将服务器configuration为只能访问局域网。正如Phoebus所说,在防火墙上使用ACL来阻止对其的访问。
您的内部DNS将引导内部用户到内部网/维基。
非常简单..
我已经读了几次,但我仍然不确定是否理解tbh,但基于我如何解释它..
你有一个新的服务器将(除其他外)托pipe你的内部局域网,但你不希望它有互联网接入(即服务器不能上网,互联网上的人不能得到它?)。
如果是这种情况,你应该能够configuration你的路由器,以便你的服务器的IP地址没有互联网访问 – 显然有很多空白,这将是有益的填补,但一般来说,这是非常简单的做。
在我的工作中,我们有一些集成了PC的工业锯,我们的CAD技术人员可以上传图纸。 我们不希望它能够访问互联网,所以我们只是没有给它一个网关,它仍然能够与我们的局域网上的所有电脑交谈。 如果服务器位于同一局域网中,并且不需要通过广域网与任何设备进行通信,则这只会有用。
假设你的路由器是一个典型的客户防火墙/ NAT设备,你不需要担心你的服务器在互联网上可见。 事实并非如此。
默认情况下,您的内部局域网上没有任何东西可以从互联网上获得。 当您的路由器的状态防火墙将只允许互联网stream量进入您的局域网,当该stream量是以前build立的连接的一部分(启动,大概是从您的局域网上的一台机器的传出连接)。 如果您希望您的服务器在Internet上可见,则需要有意识地将您的路由器configuration为将适当的端口转发到您的服务器。 不要那样做,而且你的服务器应该对互联网不可见。
对于您的用户,您还可以修改\ Windows \ System32 \ drivers \ etc \ hosts,将“Wiki”指向静态分配内部IP的服务器。 他们可以去http:// wiki ,他们在那里。
对于你的服务器,你也可以做这个修补的目的,或者如上所述 – 做相反的事情,给它的dfgw地址,所以它可以得到补丁,驱动程序更新等,然后把dfgw完成。
另外,如果安全问题非常糟糕,您可能需要扫描服务器,请closures任何不必要的服务以及将在默认安装中运行的其他有趣的事情。
并观看你的内部用户也:)