Мы только что купили машину, которая будет служить нашим внутренним производственным сервером. По соображениям безопасности мы не хотим, чтобы этот компьютер был подключен к Интернету. Однако у нас есть интранет с вики, и все рабочие станции в офисе должны иметь доступ к страницам в нашей интрасети. Я не понимаю, как это можно легко сделать, потому что, если сервер подключен к маршрутизатору, он автоматически будет в Интернете (насколько я понимаю), а если сервер не подключен к маршрутизатору, я не Я не знаю, как другие рабочие станции смогут это увидеть.
Насколько я знаю, возможно, идея разрешить всем нашим рабочим станциям (которые подключены к Интернету) подключаться к серверу, побеждает цель, чтобы сервер не был в Интернете.
Мой вопрос: так же плохо, если бы наш сервер был подключен к машине, подключенной к Интернету, как если бы сам сервер был подключен к Интернету? Если нет, есть ли простой способ разрешить всем рабочим станциям нашего офиса подключиться к серверу?
Это зависит от того, ПОЧЕМУ вы не хотите, чтобы он был подключен к Интернету. Если вы не хотите, чтобы контент на нем просматривался людьми в Интернете, то это простой случай настройки (или не настройки) вашего маршрутизатора, чтобы он не перенаправлял запросы на новый сервер.
Если вы беспокоитесь о том, что имея доступ в Интернет, потому что вы не хотите, чтобы люди используют его для загрузки торрентов, порно или любой другой не-пикантный интернет-контента, то с помощью функции вашего маршрутизатора / брандмауэра, чтобы запретить его из Интернета является путь. Конечно, это зависит от того, насколько сложен ваш маршрутизатор.
Если вы беспокоитесь о том, что он поймает что-то неприятное, я не думаю, что необходимо предотвращать доступ к Интернету. Убедитесь, что на него не направляется входящий трафик из Интернета, убедитесь, что его брандмауэр работает, исправлен и имеет политику, запрещающую использовать его для просмотра веб-страниц. Если poeple скорее всего забудет, дайте ему статический адрес и не используйте шлюз по умолчанию (при условии, что ваша сеть - это только одна подсеть). Тогда любой, кто нарушит политику, должен будет сделать это сознательно.
Конечно, у вас могут быть и другие причины для предотвращения доступа к Интернету, если да, то, если вы сообщите нам, возможно, у нас появятся лучшие предложения. Также может быть полезно немного больше информации о вашем маршрутизаторе и остальной части вашей сети.
Вам необходимо использовать соответствующие ACL брандмауэра для защиты вашего внутреннего сервера.
Установите статический IP-адрес на этом «сервере» и не назначайте ему шлюз по умолчанию. Он не сможет найти маршрут в Интернет и из Интернета через ваш маршрутизатор, и тогда он будет доступен только из локальной сети.
Просто настройте сервер так, чтобы он имел доступ только к локальной сети .. Как сказал Фебус, использование ACL на вашем брандмауэре, чтобы остановить доступ к нему ..
Ваш внутренний DNS будет направлять внутренних пользователей в интрасеть / вики ..
Довольно просто..
Я читал это несколько раз и все еще не уверен, что понимаю tbh, но судя по тому, как я это интерпретирую ...
У вас есть новый сервер, на котором (среди прочего) будет размещаться ваша внутренняя интрасеть, но вы не хотите, чтобы у него был доступ в Интернет (т.е. сервер не может подключиться к Интернету, а люди в Интернете не могут добраться до него?).
Если это так, вы должны иметь возможность настроить свой маршрутизатор так, чтобы IP-адрес вашего сервера не имел доступа в Интернет - очевидно, есть много пробелов, которые было бы полезно заполнить, но в целом это довольно просто делать.
На моей работе у нас есть несколько промышленных пил со встроенным ПК, на которые наши специалисты по САПР могут загружать чертежи. Мы не хотели, чтобы у него был доступ к Интернету, поэтому мы просто не предоставили ему шлюз, он все еще мог разговаривать со всеми ПК в нашей локальной сети. Это будет полезно только в том случае, если сервер находится в той же локальной сети и ему не нужно взаимодействовать с какими-либо устройствами в глобальной сети.
Предполагая, что ваш маршрутизатор является типичным потребительским брандмауэром / устройством NAT, вам не нужно беспокоиться о том, что ваш сервер виден в Интернете. Это не так.
По умолчанию во внутренней локальной сети нет доступа к Интернету. Брандмауэр с отслеживанием состояния на вашем маршрутизаторе будет разрешать интернет-трафик в вашу локальную сеть только тогда, когда этот трафик является частью ранее установленного соединения (инициированного, предположительно, исходящим подключением с машины в вашей локальной сети). Если вы хотите, чтобы ваш сервер был виден в Интернете в целом, вам необходимо сознательно настроить маршрутизатор для перенаправления соответствующего порта (ов) на ваш сервер. Просто не делайте этого, и ваш сервер должен быть невидим для Интернета.
Для ваших пользователей вы также можете изменить \ Windows \ System32 \ drivers \ etc \ hosts, чтобы указать "Wiki" на ваши серверы статически назначенный внутренний IP. Они могут просто пойти в http: // вики и они там.
Для вашего сервера вы также можете сделать это для целей исправления или, как указано выше - просто сделайте обратное и дайте ему адрес dfgw, чтобы он мог выйти и получить исправления, обновления драйверов и т. Д., А затем отключите dfgw, когда вы закончите.
Также, если проблемы с безопасностью настолько велики, вы можете просканировать сервер, отключить все ненужные службы и другие болтливые вещи, которые будут выполняться при установке по умолчанию.
И следите за своими внутренними пользователями :)