切割Server和OA使用者網路

hsuehlien 2013-04-07 23:30:11 ‧ 6248 瀏覽

分享至

請教各位前輩
目前公司Server和OA使用者的網路
都隸屬於相同的同一個網段
考量到病毒的傳播
計畫將Server和OA切割成兩個vlan不同的網段

請問如果Server和OA所有的服務都不能互相通訊
那病毒如果發生在某一端的網路的話
就不會傳播到另一個網段的網路是嗎?

目前公司有AD、ERP、Mail等Server提供使用者相關服務
如果OA使用者網路要連線到Server端的網路使用上述服務
開通相關服務的連接埠後
病毒是否也會利用開通服務的連接埠入侵到Server端的網路?

還有AD的部分~需要開通那些連接埠?
才能讓使用者網路正常使用Server端網路的AD相關服務
謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

darkeryu

iT邦新手 1 級 ‧ 2013-04-08 00:17:32

最佳解答

Hi,
切割成兩個vLan 只要有做 routing 彼此間還是可以通訊的, 除非您在兩個網段之間有防火牆, 一般來說是不會這個做的, 因為只會增加您自己的困擾.

回應 1
分享
檢舉

hsuehlien iT邦新手 3 級 ‧ 2013-04-08 00:22:28 檢舉

感謝您熱心的回答
有做routing彼此間就可以通訊的話
那切vlan不就無法將病毒隔離在特定的vlan中了?

登入發表回應

slime

iT邦大師 1 級 ‧ 2013-04-08 08:33:56

如果今天把病毒放廣一點, 改成"惡意軟體", 則可以有很多種攻擊, 如:

網頁入侵 -> 透過互動式網站的漏洞或程式漏洞 -> 走 port 80/443 -> 如果是內部網站, 還是要開放 OA 可以連線到 server -> 怎麼防?
網芳自動執行的感染 -> 由 OA 區的 USB 感染硬碟, 再感染網芳的主機 -> 走網芳(CIFS/SMB協定) -> 內部 OA 要存取 server -> 怎麼防?

VLAN 原本的設計是透過把封包加上 VLAN Tag , 依 Tag 來區分虛擬的子網路, 不是專門設計用來預防病毒的.

如果要防病毒(或惡意軟體), 還是要再依 OA 與 Server 的關係, 定義得更清楚, 配合防火牆/掃毒閘道來處理較佳, 例如:
a. OA 區再分為業務部, 財務部, 生產部等.
b. server 分為產線記錄, 網芳也分出不同目錄不同權限.
c. 不管實體切開或使用 VLAN , 限制只有對應的部門可以對特定 server 存取.
d. client 與 server 的防毒機制, 例如: 防毒軟體, client 端關掉 usb 存取, 對 Internet 信件過濾等.

而切割 VLAN 只是應用於其中一小部份, 以換設備的成本取代換實體線路的成本部份, 要做資安還要再考慮其他可能的問題.