在我们现在的networking上,我们有一个无线路由器和一个千兆16端口交换机。 如果一台机器连接到无线networking,他们可以访问networking中的所有本地机器。 这可能是一个安全风险,因为它是一个电脑维修店,我们离开机器仍然连接到networking。
我想要做的是,使用一个单独的无线路由器(在这种情况下,NETGEAR WGT624),build立一个只有互联网的无线networking,然后可能禁用主无线路由器上的无线networking。
我已经安装了一台运行DNS和DHCP以及AD,Sharepoint Services,MDT和WDS的Windows Server 2008 R2机器。 Active Directory仅用于MDT。
我将如何去做,或者你会如何build议我以这种方式进行设置?
您可以将NAT路由器串联在一起。 最接近互联网连接的第一个NAT可以是只能访问互联网的无线networking。 第二个NAT可以包含有线networking,其无线function也可以禁用。
这种configuration将保护有线networking免受无线networking的影响。 只要确保两个NATnetworking不在冲突的IP计划。
你有一些可能性。
一,你可以得到一个无线接入点,可以configuration为专门阻止无线客户端看到对方。 昂贵的,你有像思科这样的房子的select,像腻子一样灵活,像航天飞机那样复杂。 但一旦你把他们build立起来,你应该好好去。 这就像你在星巴克/ B&N等看到的一样。
二,build立一个防火墙系统,让你的保护系统坐在后面。 另一方面是使用公共无线接入点的交换机,并且保留一个IP保留块,以便防火墙阻止来自该IP块的所有传入通信。 便宜,不是所有的优雅,并需要维护人员的文件。 但是你暗示你正在经营一个小企业,所以你有可能摆脱这种安排。
三,购买SOHO路由器,专门阻止有线无线。 这样做的缺点是:A)阻止自己的无线接入有线端; B)根据我的经验,任何SOHO路由器在一两年之后都会变得脆弱,所以在屁股上可能会很痛苦购买一个类似的单位作为备份的第一个单位的失败,你需要的特定function集(我最终买了一个单独的无线AP和交换机, 只是一个开关,所以我可以减less我的家庭networking的问题。
对于一个小商店,我可能会使用防火墙解决scheme。 它提供了灵活性,如果你是一个喜欢让技术人员从好的项目中学习东西的小店,那么它就会给你configuration这样一台机器的经验,并学习一些关于路由和阻塞规则的知识,以及关于你的networking如何工作的信息。 它也需要一些小小的计划来devise你的networking块,并安排交付的东西(因为如果你阻止了stream量进入你的受保护的networking,或者到了不安全的系统,你需要一个方法将IP分配给与您的内部DHCP服务器分离的不安全系统,实质上创build两个networking,并存在您的整个分配区块中。
我会通过join一个真正的防火墙来做到这一点,就像一个相对便宜的SonicWALL。 如果你不想买一个新的,你可以在eBay上得到一个TZ190大约125美元。 然后您可以创build一个DMZ,并在该DMZ上放置一个无线接入点。