我在一家工厂工作,我们有一个networking(物理线),我们用于办公室使用和处理系统。 办公室计算机仅用于典型的办公室需求,但偶尔会连接到进程计算机以从SQL Server获取信息或用于其他目的。
一项新的举措正在进行,正在从公司滚滚下山,规范计算机在工作中的使用方式,严重locking,只允许一套标准的应用程序执行。
其中一个要求是也有非办公室计算机与公司域隔离。 我们的非办公室计算机是一个混合的人机接口和SQL服务器都运行非标准的软件。
我的问题是,我们如何将控制系统计算机与公司域名分离,但仍然可以访问公司域中的服务器。
谢谢
考虑为每个angular色使用不同的VLAN,并使用防火墙在它们之间传递stream量。 当然,防火墙将被configuration为只允许适当的stream量通过。
完全拆分这两个networking,在它们之间放置一个防火墙(或者隔离过程networking)。 没有理由公开这样的stream程系统。
一旦完成,您必须考虑如何访问networking过程部分的数据库。 有很多解决scheme(端口转发,SQL代理等),但我个人的build议是build立一个新的SQL服务器,它在进程和用户networking中都是双重的,并将用户需要访问的所有数据复制到这个主机。 然后确保尽可能lockingSQL服务器。
如果你不想开始做一些奇特的networking,你可以做私有VLAN 。 高端思科交换机可以做到这一点。
在这两个网段之间放置某种types的路由器或防火墙是最容易的,并且build立一个ACL,只允许指定的stream量在两者之间穿越。
这是假设进程计算机只是networking上的机器,并没有连接到域。
我会第三个“vlan”声明。
使用说802.1q VLAN标记的交换机,然后为不同的function位设置不同的子网,然后在两个子网(路由器)之间的第3层跳上实现ACL。
现在 – 这里是最重要的可能加法 –
将速率限制添加到L3跳跃以及物联网的所有端口上,以便您的标准个人电脑不会压倒该链接并毁掉“控制”networking。 如果有人决定在公司networking上弄出一堆机器,导致机器人激光器将工厂的一半汽化,那将是一个悲哀的日子。
把他们搬到不同的局域网里并不能阻止组策略被移交给他们(这很可能是他们如何将其locking)。 无论vlan如何,最好的办法是将这些服务器放置在独立的Ous中,并阻止那些不适用于他们的策略