В нашей текущей сети есть беспроводной маршрутизатор и гигабитный 16-портовый коммутатор. Если машина подключается к беспроводной сети, у нее есть доступ ко всем локальным машинам в сети. Это может быть угрозой безопасности, поскольку это мастерская по ремонту ПК, и мы оставляем машины подключенными к сети.
Я бы хотел, используя отдельный беспроводной маршрутизатор (в данном случае Netgear WGT624), настроить беспроводную сеть только через Интернет, а затем, возможно, отключить беспроводную сеть на основном беспроводном маршрутизаторе.
Я установил машину с Windows Server 2008 R2, на которой работают DNS и DHCP вместе с AD, Sharepoint Services, MDT и WDS. Active Directory действительно используется только для MDT.
Как мне это сделать или как вы порекомендуете мне настроить это таким образом?
Вы можете просто разместить маршрутизаторы NAT последовательно, один за другим. Первый NAT, ближайший к Интернет-соединению, может быть беспроводным с доступом только к Интернету. Второй NAT может содержать проводную сеть, и ее беспроводные возможности также могут быть отключены.
Эта конфигурация защитит проводную сеть от беспроводной сети. Просто убедитесь, что обе сети NAT не находятся в конфликтующих IP-планах.
У вас есть несколько возможностей.
Во-первых, вы можете получить точку беспроводного доступа, которую можно настроить так, чтобы запрещать беспроводным клиентам видеть друг друга. Дорогое, у вас есть варианты от таких компаний, как Cisco, которые для этого столь же гибкие, как замазка, и сложные, как космические шаттлы. Но как только вы их настроите, все будет в порядке. Это дает вам настройку, как вы видите в Starbucks / B & N / и т. Д.
Во-вторых, настройте систему межсетевого экрана, за которой находятся ваши защищенные системы. На другой стороне находится коммутатор с вашей общедоступной беспроводной AP, и зарезервирован блок вашего IP-адреса, чтобы ваш брандмауэр блокировал весь входящий трафик от этого IP-блока. Дешево, не так уж элегантно и требует документации для сопровождающих. Но вы подразумевали, что у вас малый бизнес, поэтому, возможно, вам удастся избежать наказания за это.
В-третьих, приобретите маршрутизатор для SOHO, который специально блокирует проводную и беспроводную связь. У этого есть недостатки: A) блокировка вашей собственной беспроводной сети от проводной стороны и B) любой маршрутизатор SOHO, по моему опыту, имеет тенденцию выходить из строя через год или два, поэтому может быть головной болью держать покупка аналогичного устройства в качестве резервного на случай отказа первого устройства, и вам понадобится конкретный набор функций (в конце концов я купил отдельную беспроводную точку доступа и коммутатор, который был просто переключатель так что я мог уменьшить проблемы в моей домашней сети.)
Для небольшого магазина я бы, вероятно, выбрал брандмауэр. Это дает гибкость, и если вы являетесь небольшим магазином, которому нравится, когда технические специалисты учатся на хороших проектах, он дает опыт настройки такой машины и немного узнает о правилах маршрутизации и блокировки, а также информацию о том, как работает ваша сеть. Также необходимо немного спланировать, как вы хотите вырезать свой сетевой блок и организовать раздачу вещей (поскольку, если вы блокируете входящий и, возможно, исходящий трафик из своей защищенной сети в блок небезопасных систем, вам понадобится способ раздавать IP-адреса небезопасным системам, которые отделены от вашего внутреннего DHCP-сервера, по сути создавая две сети, которые сосуществуют в вашем общем блоке распределения.)
Я бы сделал это, установив настоящий брандмауэр, что-то вроде относительно дешевого SonicWALL. Если вы не хотите покупать новый, вы можете купить TZ190 на eBay примерно за 125 долларов. Затем вы можете создать DMZ и поставить точку беспроводного доступа в этой DMZ.