請教一下.目前公司管理防火牆上因應配合廠商提出要開放vnc直接對應內部電腦.以利對方連線做電腦維修..怎辦呢?

網路管理防火牆網路芳鄰網路安全

a24504023 2010-03-14 10:23:42 ‧ 10921 瀏覽

分享至

問題1.開放對外的vnc.那只要有ip..便可以直接連線了?..能有何方式多一層保障.
問題2.連入內部電腦.不是又透過操控的電腦在連到其它電腦?..可以有方式阻絶他嗎?
提供方便.但卻又造成內部的風險提高..各位大大有何建議呢?

看更多先前的討論...收起先前的討論...

蟹老闆 iT邦大師 1 級 ‧ 2010-03-14 11:54:08 檢舉

vnc可設開機不啟動,待有需要時才由內部人員啟動供廠商操作

a24504023 iT邦新手 5 級 ‧ 2010-03-14 19:07:09 檢舉

這問題我想過了..重點是我不是24小時待命..沒法應付所謂有需要才來動作...你也知道薪水一個月沒多少..要管的事又多..累啊.

a841030 iT邦新手 5 級 ‧ 2010-03-14 20:59:47 檢舉

這種做法我的確也聽人家說..現在有很多人都是用一些遠端桌面的做法來處理電腦的問題..如果要用時才開.那電腦前面沒人..人又在遠端.要如何開機啟動呢....

a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:35:52 檢舉

大大你的確講到我心聲了....你真是全國電子呢.....著肛溫..謝謝呢..

a841030 iT邦新手 5 級 ‧ 2010-03-14 22:12:49 檢舉

剛看到HAWK大大提出的建議及說法.感同身愛..到底是我們在管電腦.還是讓電腦管我們...做到死..我想電腦也不會感激我們吧...-_-

hawkyun iT邦新手 4 級 ‧ 2010-03-14 22:19:58 檢舉

其實我也只是用感同身受的心態去看待此事而巳..管人.管事.管設備..太多要管了..但錢就那樣多.怎辦...線路不通找mis..電腦故障找mis..操作不良也找mis..只要會電腦就該死..不會電腦的卻不用想太多..所以一定要找更輕鬆的方式去管理...而且更有效率去執行..

tombo iT邦高手 1 級 ‧ 2010-03-14 23:55:08 檢舉

1.Firewall通常可以設定 Policy Enable 的 Schedule，把 Allow VNC 的 Policy設定只有上班時間可使用。
2.VNC可以結合 AD 驗證，所以你也可以在 AD 上設定帳密有效期限、登入時間等
3.VNC可以設定加密。
4.VNC可以設定錄製畫面。
5.VNC可以設定可連接的 IP Address

pctone iT邦新手 4 級 ‧ 2010-03-15 04:07:14 檢舉

這個問題直接用VLAN 將廠商的設備和公司內部網路切開來就好了,兩個VLAN 之間不能互通就不會有問題.

a24504023 iT邦新手 5 級 ‧ 2010-03-15 18:41:18 檢舉

謝謝各位..我現在巳經採用mosdan的ip-mac lock..鎖定後..vnc不怕他在透過網路連到其它的電腦桌面..也不用去加一些設定...管理方便.真的好用.對我這種生手來說..學太多增加自己壓力..懂少一點對我來說也許會更好...

魯大 iT邦高手 1 級 ‧ 2010-03-16 11:31:06 檢舉

不錯哦..
你公司買設備的評估及購買執行力很強哦..
這麼快就買到手啦..
而且廠商也配合的相當的好，一下子就到貨並安裝使用囉..
真是羨慕你...

tombo iT邦高手 1 級 ‧ 2010-03-16 11:42:53 檢舉

真是無聊，廠商在自演自導啦....

http://ithelp.ithome.com.tw/question/10038913?aid=90881#90881

先是hawkyun問，a24504023回答
現在是a24504023，hawkyun回答

都是同一個產品...

root7405 iT邦新手 5 級 ‧ 2010-03-16 16:07:08 檢舉

也許人家真的巳經有如此...也搞不好產品真的那麼好.反正有好東西提出來大家分享...如果實際上沒有那種效果..打產品知名度又有何用....對吧..

tombo iT邦高手 1 級 ‧ 2010-03-16 17:40:40 檢舉

也許吧... 只是不想浪費時間在這種問題上...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

hawkyun

iT邦新手 4 級 ‧ 2010-03-14 21:28:45

最佳解答

當mis很累吧..這個問題我自己也遇過..設定上剛好也用得到你那一台fg-60..防火牆...但我下方卻多出一台mosdan ip-mac lock的switch..所有電腦都納入控管..
大略做法提供.細部的話可來信..在提供你資料...

fg-60設定sslvpn 可遠端連線..在書籤中加入要連入那一台的電腦主機vnc桌面.
所有電腦經由ip-mac lock控管後.在switch上便可幫你把關..之間各電腦不會因芳鄰或同網路中相連而相通...就算每一台電腦都按裝有vnc..也連不到..
而你卻可以隨時依自己時間或需求連線自己所需要的電腦桌面.做你的維護或檢測...不怕外面廠商在透過vnc來連你的其它電腦..

回應 3
分享
檢舉

a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:34:08 檢舉

我直接弄防火牆巳經夠累了..要設東設西..我又不是本科系出身..錢少事多巳經夠累了..在加一台switch..是不是又要跟防火牆一樣..要學更多...那不是更累嗎..這台switch要去那裏看..可以告知一下嗎..有這麼神?

a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:42:39 檢舉

請教一下..mosdan產品那麼多種..那要達到我的需求.要花費很多錢嗎...

hawkyun iT邦新手 4 級 ‧ 2010-03-14 21:48:02 檢舉

其實不用花那麼錢..因為MOSDAN的產品都是主要在控管IP-MAC LOCK這個領域..所以你可以因你的需求而去購買...事實上我花了一萬多買一台SWITCH可以做安全性控管..總比你沒事加班領不到錢要好很多吧...而且公司花錢.又不是你花錢..重點在於安全控管的問題.如果稍有差錯..你就要沒頭路還來得好吧....況且我看目前市面產品能做到這樣功能.最起碼一定要花一筆大錢..小錢難搞..不然就是要學很指令..就算是FREEWARE的提供你也要學更多的做法..花小錢.弄大功能.對你好.對公司..那不是更加幫你加分嗎....不然.你看MIS那一個不是很累...

登入發表回應

a841030

iT邦新手 5 級 ‧ 2010-03-14 10:33:56

你不是有建置防火牆嗎..防火牆內部不是可以設定一些安全控管的功能嗎..還是你的防火牆是比較低階的..可以建議你買好一點的防火牆.也許可以把你的問題解決.也說不定..

回應 1
分享
檢舉

a24504023 iT邦新手 5 級 ‧ 2010-03-14 10:43:05 檢舉

目前使用的是fortinet fg 60b..但是要設定對外開放埠等動作是還可以..可以要如何控管像我所提的動作.要如何做呢..我不想用軟體.只想用硬體.但又不想做太多的設定.有沒有直接可以點選的方式來達到我的要求...

登入發表回應

魯大

iT邦高手 1 級 ‧ 2010-03-14 20:26:29

由外對內的VNC連線
一、防火牆設定：
做好IP指向動作(即實體IP指向虛擬IP)並且指定只開啟5900PORT
二、被控端電腦設定：
安裝VNC軟體，在安裝完成後，設定一組連線密碼
該密碼最好滿足複雜性原則，並且在一段時間之後就必需換
以避免被TRY出來..

做好了以上兩件事之後，給廠商實體IP跟連線密碼
這樣就可以方便廠商連線進入處理問題啦..
當然在廠商連入之後，他可以藉由些內部電腦再連線到其他的電腦
為了避免類似情況發生
其他的電腦就不要安裝VNC這類的軟體
要不就連線密碼設定不一樣就行啦..

如果這樣再不夠保險的話..
那就請再麻煩點..
將那台需給廠商連線做電腦維修的電腦移到「DMZ區」(我記得這台防火牆有這個東西)
而公司內部的電腦有存取該電腦的話
就透過IP指向的方式連到「DMZ區」做存取
記得不可以開放「DMZ區」到公司內部來存取
這樣廠商就只能夠連線一台電腦，而不能連到其它的電腦了..

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

a24504023 iT邦新手 5 級 ‧ 2010-03-14 20:57:07 檢舉

很好的建議..但對我來說還是一個頭大的地方.因為公司內部幾乎每台都巳安裝了vnc.為的是要遠端維修及操作..所以才會提出問題2.連入內部電腦.不是又透過操控的電腦在連到其它電腦?..
這個仍是頭大的問題..

johnlin1958 iT邦新手 4 級 ‧ 2010-03-15 18:11:56 檢舉

looney + 1
樓主，你的問題不是技術上的問題。
你的問題，是管理上的問題。
廠商要使用vnc遠端連入進來做維修，先弄清楚是要做哪一台的維修?
不需要維修的電腦，為何要裝vnc?
這個問題，主管或老闆若是問起來，你要怎麼回答?
looney的回答是最好的，這個不是技術上的問題，是管理上的問題。您若是MIS主管，有責任掌控vnc的安裝。