大陸工廠有150台PC.其中30台為一組可上網對外.另外120台為另外一組.絕不可上網對外.我只要管控可上網那一組即可.我想讓這兩組儘量沒有軟硬體連接.而且讓大陸幹部如果要把它們連接起來會很費事.但是有一點需考慮的是.這兩組間必須可傳內部郵件.請問有誰有可行辦法.
Tks
假設30台為一組可上網對外為A組.另外120台為另外一組.絕不可上網對外為B組.
在B組內架設一內部郵件系統, 在A/B兩組間架設一防火牆, 讓A組可以連線至B組的內部郵件系統收發email(pop3, smtp, or webmail), 但B組到A組間的防火牆policy則完全封閉.
請參考!
你可以用IP來控制,如10.1.1.0~10.1.1.31給前30台PC使用(固定IP),其餘PC則為變動IP.在防火牆上再設定一條規則,只允許這屬於這群IP(可設定成網路物件)的PC可連上INTERNET.便可解決你的問題.
似乎沒什麼用. 不管什麼policy,只要大陸的IT人員有權限.怎麼改都可以吧.
可以在連外的那台router的上鎖MAC ADDRESS,
只有那台router裏有紀錄的MAC ADDRESS才可上網.
而那台router的密碼不能流出,
因此大陸那裏的IT人員沒有設定上網功能的權限.
其實坊間有許多管理PC端的軟體,可以控制軟硬體,我想直接封鎖其IE比較快吧!且又可以做到PC管理,何樂而不為!
與其說2組網路中間不能有東西串接,或要防當地的IT怎樣的
倒不如配合行政命令與一個較完善的網路架構做集中控管,會比較好也說不定
例如要做任何的變動,必須經總公司同意才可進行更動
若發現違規,則依照規定議處等等...
至於網路架構,A組可用VPN連回總公司做集中控管,2組網路用ROUTER分開
B組郵件收發的問題,可切割成VLAN,單獨指向郵件收發的相關IP即可
再者大陸的IT只需做簡單的維護與流量控管等相關工作
定期向總部回報可做為評估與規劃的考量
不該給的權限不要給,例如網路架構的規劃
也要保留未來的延展性,如增設分公司/工廠
集中控管的重要性則更高了,否則整個IT控管機制都會亂掉的
甚至比不上各地獨立控管
集中控管的好處應該無須多說吧!
工作內容的分配、權限與行政命令,是IT人員的保護傘