iT邦幫忙

0

請教一下.目前公司管理防火牆上因應配合廠商提出要開放vnc直接對應內部電腦.以利對方連線做電腦維修..怎辦呢?

問題1.開放對外的vnc.那只要有ip..便可以直接連線了?..能有何方式多一層保障.
問題2.連入內部電腦.不是又透過操控的電腦在連到其它電腦?..可以有方式阻絶他嗎?
提供方便.但卻又造成內部的風險提高..各位大大有何建議呢?

看更多先前的討論...收起先前的討論...
蟹老闆 iT邦大師 1 級 ‧ 2010-03-14 11:54:08 檢舉
vnc可設開機不啟動,待有需要時才由內部人員啟動供廠商操作
a24504023 iT邦新手 5 級 ‧ 2010-03-14 19:07:09 檢舉
這問題我想過了..重點是我不是24小時待命..沒法應付所謂有需要才來動作...你也知道薪水一個月沒多少..要管的事又多..累啊.
a841030 iT邦新手 5 級 ‧ 2010-03-14 20:59:47 檢舉
這種做法我的確也聽人家說..現在有很多人都是用一些遠端桌面的做法來處理電腦的問題..如果要用時才開.那電腦前面沒人..人又在遠端.要如何開機啟動呢....
a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:35:52 檢舉
大大你的確講到我心聲了....你真是全國電子呢.....著肛溫..謝謝呢..
a841030 iT邦新手 5 級 ‧ 2010-03-14 22:12:49 檢舉
剛看到HAWK大大提出的建議及說法.感同身愛..到底是我們在管電腦.還是讓電腦管我們...做到死..我想電腦也不會感激我們吧...-_-
hawkyun iT邦新手 4 級 ‧ 2010-03-14 22:19:58 檢舉
其實我也只是用感同身受的心態去看待此事而巳..管人.管事.管設備..太多要管了..但錢就那樣多.怎辦...線路不通找mis..電腦故障找mis..操作不良也找mis..只要會電腦就該死..不會電腦的卻不用想太多..所以一定要找更輕鬆的方式去管理...而且更有效率去執行..
tombo iT邦高手 1 級 ‧ 2010-03-14 23:55:08 檢舉
1.Firewall通常可以設定 Policy Enable 的 Schedule,把 Allow VNC 的 Policy設定只有上班時間可使用。
2.VNC可以結合 AD 驗證,所以你也可以在 AD 上設定帳密有效期限、登入時間等
3.VNC可以設定加密。
4.VNC可以設定錄製畫面。
5.VNC可以設定可連接的 IP Address
pctone iT邦新手 4 級 ‧ 2010-03-15 04:07:14 檢舉
這個問題直接用VLAN 將廠商的設備和公司內部網路切開來就好了,兩個VLAN 之間不能互通就不會有問題.
a24504023 iT邦新手 5 級 ‧ 2010-03-15 18:41:18 檢舉
謝謝各位..我現在巳經採用mosdan的ip-mac lock..鎖定後..vnc不怕他在透過網路連到其它的電腦桌面..也不用去加一些設定...管理方便.真的好用.對我這種生手來說..學太多增加自己壓力..懂少一點對我來說也許會更好...
魯大 iT邦高手 1 級 ‧ 2010-03-16 11:31:06 檢舉
不錯哦..
你公司買設備的評估及購買執行力很強哦..
這麼快就買到手啦..
而且廠商也配合的相當的好,一下子就到貨並安裝使用囉..
真是羨慕你...
tombo iT邦高手 1 級 ‧ 2010-03-16 11:42:53 檢舉
真是無聊,廠商在自演自導啦....

http://ithelp.ithome.com.tw/question/10038913?aid=90881#90881

先是hawkyun問,a24504023回答
現在是a24504023,hawkyun回答

都是同一個產品...
root7405 iT邦新手 5 級 ‧ 2010-03-16 16:07:08 檢舉
也許人家真的巳經有如此...也搞不好產品真的那麼好.反正有好東西提出來大家分享...如果實際上沒有那種效果..打產品知名度又有何用....對吧..
tombo iT邦高手 1 級 ‧ 2010-03-16 17:40:40 檢舉
也許吧... 只是不想浪費時間在這種問題上...
6
hawkyun
iT邦新手 4 級 ‧ 2010-03-14 21:28:45
最佳解答

當mis很累吧..這個問題我自己也遇過..設定上剛好也用得到你那一台fg-60..防火牆...但我下方卻多出一台mosdan ip-mac lock的switch..所有電腦都納入控管..
大略做法提供.細部的話可來信..在提供你資料...

  1. fg-60設定sslvpn 可遠端連線..在書籤中加入要連入那一台的電腦主機vnc桌面.
  2. 所有電腦經由ip-mac lock控管後.在switch上便可幫你把關..之間各電腦不會因芳鄰或同網路中相連而相通...就算每一台電腦都按裝有vnc..也連不到..
    而你卻可以隨時依自己時間或需求連線自己所需要的電腦桌面.做你的維護或檢測...不怕外面廠商在透過vnc來連你的其它電腦..
a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:34:08 檢舉

我直接弄防火牆巳經夠累了..要設東設西..我又不是本科系出身..錢少事多巳經夠累了..在加一台switch..是不是又要跟防火牆一樣..要學更多...那不是更累嗎..這台switch要去那裏看..可以告知一下嗎..有這麼神?

a24504023 iT邦新手 5 級 ‧ 2010-03-14 21:42:39 檢舉

請教一下..mosdan產品那麼多種..那要達到我的需求.要花費很多錢嗎...

hawkyun iT邦新手 4 級 ‧ 2010-03-14 21:48:02 檢舉

其實不用花那麼錢..因為MOSDAN的產品都是主要在控管IP-MAC LOCK這個領域..所以你可以因你的需求而去購買...事實上我花了一萬多買一台SWITCH可以做安全性控管..總比你沒事加班領不到錢要好很多吧...而且公司花錢.又不是你花錢..重點在於安全控管的問題.如果稍有差錯..你就要沒頭路還來得好吧....況且我看目前市面產品能做到這樣功能.最起碼一定要花一筆大錢..小錢難搞..不然就是要學很指令..就算是FREEWARE的提供你也要學更多的做法..花小錢.弄大功能.對你好.對公司..那不是更加幫你加分嗎....不然.你看MIS那一個不是很累...

4
a841030
iT邦新手 5 級 ‧ 2010-03-14 10:33:56

你不是有建置防火牆嗎..防火牆內部不是可以設定一些安全控管的功能嗎..還是你的防火牆是比較低階的..可以建議你買好一點的防火牆.也許可以把你的問題解決.也說不定..

a24504023 iT邦新手 5 級 ‧ 2010-03-14 10:43:05 檢舉

目前使用的是fortinet fg 60b..但是要設定對外開放埠等動作是還可以..可以要如何控管像我所提的動作.要如何做呢..我不想用軟體.只想用硬體.但又不想做太多的設定.有沒有直接可以點選的方式來達到我的要求...

4
魯大
iT邦高手 1 級 ‧ 2010-03-14 20:26:29

由外對內的VNC連線
一、防火牆設定:
做好IP指向動作(即實體IP指向虛擬IP)並且指定只開啟5900PORT
二、被控端電腦設定:
安裝VNC軟體,在安裝完成後,設定一組連線密碼
該密碼最好滿足複雜性原則,並且在一段時間之後就必需換
以避免被TRY出來..

做好了以上兩件事之後,給廠商實體IP跟連線密碼
這樣就可以方便廠商連線進入處理問題啦..
當然在廠商連入之後,他可以藉由些內部電腦再連線到其他的電腦
為了避免類似情況發生
其他的電腦就不要安裝VNC這類的軟體
要不就連線密碼設定不一樣就行啦..

如果這樣再不夠保險的話..
那就請再麻煩點..
將那台需給廠商連線做電腦維修的電腦移到「DMZ區」(我記得這台防火牆有這個東西)
而公司內部的電腦有存取該電腦的話
就透過IP指向的方式連到「DMZ區」做存取
記得不可以開放「DMZ區」到公司內部來存取
這樣廠商就只能夠連線一台電腦,而不能連到其它的電腦了..

看更多先前的回應...收起先前的回應...
a24504023 iT邦新手 5 級 ‧ 2010-03-14 20:57:07 檢舉

很好的建議..但對我來說還是一個頭大的地方.因為公司內部幾乎每台都巳安裝了vnc.為的是要遠端維修及操作..所以才會提出問題2.連入內部電腦.不是又透過操控的電腦在連到其它電腦?..
這個仍是頭大的問題..

looney + 1
樓主,你的問題不是技術上的問題。
你的問題,是管理上的問題。
廠商要使用vnc遠端連入進來做維修,先弄清楚是要做哪一台的維修?
不需要維修的電腦,為何要裝vnc?
這個問題,主管或老闆若是問起來,你要怎麼回答?
looney的回答是最好的,這個不是技術上的問題,是管理上的問題。您若是MIS主管,有責任掌控vnc的安裝。

sphinx iT邦研究生 3 級 ‧ 2010-03-19 15:42:49 檢舉

looney大:

VNC的好處是電腦可以隨時待命接受遙控,依您第二段的說法,如果需要外部遙控時才要去安裝VNC或修改密碼,這樣是否也可考慮使用TeamViewer QS版,防火牆不需做任何設定,應該比較方便些。

a24504023提到:
的是fortinet fg 60b..但是要設定對外開放埠等動作是還可以..可以要如何控管像我所提的動作.要如何做呢..我不想用軟體.只想用硬體.但又不想做太

現在已有TeamView這個軟體可以用..各Client端電腦不用安裝..而且只能連結一台..而且TeamView軟體開啟..密碼都不一樣...還有防火牆不用設定

我要發表回答

立即登入回答