我是一个开发人员,而不是一个系统pipe理员,所以我会尽可能地提出这个问题。
我正在为移动设备的Web应用程序工作。 由于它正在开发中,它只能在我们的内部networking上使用。 我公司的WiFi接入点是为了“客人使用”,并获得企业防火墙之外的连接。 使用WiFi的员工需要使用VPN访问企业networking。
我有WiFi的移动设备,我想连接到我的内部networking来testing我的Web应用程序。 不是所有的人都有VPNfunction。
这是我的问题:我如何设置一个WiFi接入点,只允许它将stream量路由到我的Web服务器的IP地址的白名单? 这可以是一个现成的无线路由器,或需要成为一个服务器的无线网卡?
我不想设置stream氓端点并危及企业安全,所以我打算通过我的IT部门,但我想向他们通报可能性。
如果这是一个公司项目,他们应该能够build立一个临时的WAP,只允许访问你的设备的MAC地址,而不是广播一个SSID。 如果您的设备支持可以设置的encryption,并使用最低功率设置来限制范围。
这取决于你的企业环境。 如果他们对安全真的很紧张,那么你需要build立一个防火墙服务器,它只允许某些路由规则调解到内部networking的无线连接。
最后,您要求无线连接转到“敏感”的内部资产,无论白名单。 如果有人决定破坏你的无线连接,他们可能会欺骗你的设备的MAC地址,窃取一个IP(如果你正在谈论把WAP连接器的白名单而不是目的地),嗅探连接(如果你没有运行WAP)等等。
所以就像我说的…取决于企业的环境。 我看到的选项是让你通过防火墙访问来调解和logging活动,或者把某些特定的东西添加到白名单中,这些白名单可以连接到路由,什么可以通过隐藏SSID和MAC过滤来连接到它,并使用强大的encryptionfunction,或者设置一个“closures”的testing平台networking,以便在虚拟机(或虚拟机)中运行testing应用程序以连接到无线设备,而无法访问实际的networking。
最后,你可以和他们谈谈如何设置一台无线运行在公共networking上的机器,但通过VPN连接,并将无线设备从该机器通过VPN路由到内部networking(基本上是使用一台在VPN上工作的机器,它作为一个路由器“共享”连接)。 尽pipe其他人也可能连接到那台计算机,但仍然不安全,所以你必须做一些事情来监视谁连接。
这听起来像贵公司采取了适当的措施,以确保无线接入,即一个VPN端点和没有直接的内部路由。 然而,只用特定的路由和特定的防火墙规则来build立一个无线接入点相对容易,而且根据他们当前的设置,我会怀疑他们能够做到这一点,尽pipe会有一些不容易删除的安全问题。
几乎任何商业/企业无线接入点都可以工作(与家用WAP或WAP路由器相反),防火墙就在后面。 在最简单的情况下,您可以将WAP连接到Linux主机的networking适配器,并在该机器上执行所有的IP转发/主机过滤。 这很便宜,很容易实现,大概不到半个小时才能工作。 我不build议一路走下去,把一台linux机器放在AP模式下,要使它正常工作可能会有很多复杂性,除非你有非常具体的实验,否则必须更容易使用外部第三方AP并希望对信标间隔或其他此类无线协议级别细节进行细粒度控制。