iT邦幫忙

0

大陸工廠網路規劃

大陸工廠有150台PC.其中30台為一組可上網對外.另外120台為另外一組.絕不可上網對外.我只要管控可上網那一組即可.我想讓這兩組儘量沒有軟硬體連接.而且讓大陸幹部如果要把它們連接起來會很費事.但是有一點需考慮的是.這兩組間必須可傳內部郵件.請問有誰有可行辦法.
Tks

鐵殼心 iT邦高手 1 級 ‧ 2008-10-08 22:50:34 檢舉
DHCP給定IP, 但不給定Gateway.
fireflybug iT邦研究生 5 級 ‧ 2008-10-09 08:53:42 檢舉
這種方式最好確定user端權限無法更改IP資訊,否則對一些進階的使用者,沒效果。
用防火牆是初步處理的辦法,簡單又省事。
但是接下來還必須配合兩件事
一、要做身分認證:有些防火牆可和AD結合直接做身分認證(不用重複輸入帳號密碼),這樣可以避免人員私改IP或偷用他人電腦。
二、要採用可辨識Internet軟體的設備:目前在大陸使用無界,自由門等通道軟體很多,而Skype,edonkey,BT 又自動採用Supernode功能,這些都會造成漏洞。

很奇怪的,在大陸的廠特別多這種造成漏洞的軟體,每次造成的後果都要網管來承擔,如果沒有預算採購相關設備,根本不知道網路裡面真正跑了哪些東西!
18
fishk
iT邦大師 1 級 ‧ 2008-10-08 22:48:46
最佳解答

假設30台為一組可上網對外為A組.另外120台為另外一組.絕不可上網對外為B組.
在B組內架設一內部郵件系統, 在A/B兩組間架設一防火牆, 讓A組可以連線至B組的內部郵件系統收發email(pop3, smtp, or webmail), 但B組到A組間的防火牆policy則完全封閉.

請參考!

k4577 iT邦新手 5 級 ‧ 2008-10-09 15:33:37 檢舉

Idea 不錯.簡單又明瞭.謝謝指點.感激萬分.

fishk iT邦大師 1 級 ‧ 2008-10-10 00:07:26 檢舉

很高興對你有幫助, 不客氣!

10
lcjhfr
iT邦研究生 1 級 ‧ 2008-10-09 15:57:23

你可以用IP來控制,如10.1.1.0~10.1.1.31給前30台PC使用(固定IP),其餘PC則為變動IP.在防火牆上再設定一條規則,只允許這屬於這群IP(可設定成網路物件)的PC可連上INTERNET.便可解決你的問題.

k4577 iT邦新手 5 級 ‧ 2008-10-09 17:43:06 檢舉

我们目前就是用此方法.而且是大陸幹部在作.但大陸IT 可能誰跟他好.他把IP一改.即可上網.而且還要去管150台.太麻煩了.

10
phoxay
iT邦新手 4 級 ‧ 2008-10-09 18:36:11

似乎沒什麼用. 不管什麼policy,只要大陸的IT人員有權限.怎麼改都可以吧.

可以在連外的那台router的上鎖MAC ADDRESS,
只有那台router裏有紀錄的MAC ADDRESS才可上網.
而那台router的密碼不能流出,
因此大陸那裏的IT人員沒有設定上網功能的權限.

6
kaptech
iT邦新手 2 級 ‧ 2008-10-10 09:35:27

其實坊間有許多管理PC端的軟體,可以控制軟硬體,我想直接封鎖其IE比較快吧!且又可以做到PC管理,何樂而不為!

kaptech iT邦新手 2 級 ‧ 2008-10-10 09:35:53 檢舉

當然要有預算囉!!!

20
tsengleoo
iT邦研究生 1 級 ‧ 2008-10-10 18:58:41

與其說2組網路中間不能有東西串接,或要防當地的IT怎樣的
倒不如配合行政命令與一個較完善的網路架構做集中控管,會比較好也說不定
例如要做任何的變動,必須經總公司同意才可進行更動
若發現違規,則依照規定議處等等...

至於網路架構,A組可用VPN連回總公司做集中控管,2組網路用ROUTER分開
B組郵件收發的問題,可切割成VLAN,單獨指向郵件收發的相關IP即可
再者大陸的IT只需做簡單的維護與流量控管等相關工作
定期向總部回報可做為評估與規劃的考量
不該給的權限不要給,例如網路架構的規劃
也要保留未來的延展性,如增設分公司/工廠
集中控管的重要性則更高了,否則整個IT控管機制都會亂掉的
甚至比不上各地獨立控管

集中控管的好處應該無須多說吧!
工作內容的分配、權限與行政命令,是IT人員的保護傘

jamesjan iT邦高手 1 級 ‧ 2008-10-11 09:03:44 檢舉

很棒的答案 b
技術面與管理面都兼顧到了

我要發表回答

立即登入回答