Назад | Перейти на главную страницу

избежать утечки данных, заблокировав доступ в Интернет для ПК, но разрешив доступ в Интернет через удаленный рабочий стол

В небольшой сети (в моей компании) я хотел бы заблокировать некоторые компьютеры (ПК) для доступа в Интернет, чтобы конфиденциальные данные или файлы на этих компьютерах не могли просочиться. Но мне все еще нужно, чтобы пользователи ПК имели доступ в Интернет через удаленный рабочий стол.

Вот моя сетевая топология компании. (См. Изображение ниже)

Основные моменты дизайна:

1, на ПК есть некоторые конфиденциальные данные и файлы, поэтому доступ в Интернет блокируется маршрутизатором. (Маршрутизатор имеет простой брандмауэр, который может блокировать подключение к Интернету через черный список MAC-адресов) Но ПК могут получить доступ к локальной сети.

2, у меня есть серверный компьютер, на котором работает Centos, и я создал на нем сервер VNC и FTP-сервер.

3, для доступа в Интернет пользователи могут использовать SSH с ПК на VNC-сервер и открывать браузер на удаленном рабочем столе VNC (серверу разрешен доступ в Интернет), если пользователь хочет загрузить некоторые файлы, он может сначала загрузить файл на сервер и поместить файл на FTP-сервер.

4, с ПК пользователя он может загружать файлы через FTP с сервера.

Примечание 1: удаленному рабочему столу VNC не разрешено передавать файлы, поэтому файлы нельзя передавать с ПК на серверы. FTP-сервер доступен только для чтения, что означает, что файлы могут передаваться только с сервера на ПК.

Примечание 2: я хотел бы добавить некоторые правила iptable в брандмауэр centos, чтобы сервер мог принимать только соединение VNC, а серверу не разрешался доступ к ПК. (Я имею в виду, если ПК может просто запустить файловый сервер HTTP, а затем сервер может загрузить файл с ПК на сервер, но это поведение должно быть заблокировано брандмауэром сервера)

Мой вопрос: безопасен ли этот способ? Все, чего я хочу добиться, это то, что я хочу, чтобы данные / файлы на ПК никогда не просачивались, но я все же разрешаю пользователям ПК выходить в Интернет через удаленный рабочий стол VNC. И данные могут идти только таким образом: из Интернета на сервер, затем с сервера на ПК.

Есть ли другие способы добиться этого?