請教各位前輩
目前公司Server和OA使用者的網路
都隸屬於相同的同一個網段
考量到病毒的傳播
計畫將Server和OA切割成兩個vlan不同的網段
請問如果Server和OA所有的服務都不能互相通訊
那病毒如果發生在某一端的網路的話
就不會傳播到另一個網段的網路是嗎?
目前公司有AD、ERP、Mail等Server提供使用者相關服務
如果OA使用者網路要連線到Server端的網路使用上述服務
開通相關服務的連接埠後
病毒是否也會利用開通服務的連接埠入侵到Server端的網路?
還有AD的部分~需要開通那些連接埠?
才能讓使用者網路正常使用Server端網路的AD相關服務
謝謝
已邀請的邦友 {{ invite_list.length }}/5
Hi,
切割成兩個vLan 只要有做 routing 彼此間還是可以通訊的, 除非您在兩個網段之間有防火牆, 一般來說是不會這個做的, 因為只會增加您自己的困擾.
如果今天把病毒放廣一點, 改成"惡意軟體", 則可以有很多種攻擊, 如:
VLAN 原本的設計是透過把封包加上 VLAN Tag , 依 Tag 來區分虛擬的子網路, 不是專門設計用來預防病毒的.
如果要防病毒(或惡意軟體), 還是要再依 OA 與 Server 的關係, 定義得更清楚, 配合防火牆/掃毒閘道來處理較佳, 例如:
a. OA 區再分為業務部, 財務部, 生產部等.
b. server 分為產線記錄, 網芳也分出不同目錄不同權限.
c. 不管實體切開或使用 VLAN , 限制只有對應的部門可以對特定 server 存取.
d. client 與 server 的防毒機制, 例如: 防毒軟體, client 端關掉 usb 存取, 對 Internet 信件過濾等.
而切割 VLAN 只是應用於其中一小部份, 以換設備的成本取代換實體線路的成本部份, 要做資安還要再考慮其他可能的問題.
大概了解您的意思了
只是比較納悶的是
OA...切割成對應的部門
Server...限制對應部門的存取權限
那一旦特定的OA存取特定的Server
還是有可能經由這特定的管道感染或入侵囉
所以基本上將OA和Server切割開來
應該只是方便用來找出病毒問題的來源所在囉
另外想請問關於AD的部分
如果要讓OA和Server互通
要開那些特定的Port
謝謝
可以使用 windows 內建的防火牆來作管理
ad port
http://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx
只要把系統的漏洞修補起來
再加上只要開需要的port
我想被攻擊機率就降低很多了
主機中毒的機率很低
只要不要在上面開檔案或是瀏覽網頁下載檔案
基本上應該不會中毒
剩下就是被駭客入侵或攻擊的問題了
大部分碰到都是其他台電腦來攻擊你的主機
例如 ddos
要預防可能要買設備吧
hsuehlien提到:
OA...切割成對應的部門
Server...限制對應部門的存取權限
那一旦特定的OA存取特定的Server
還是有可能經由這特定的管道感染或入侵囉
所以基本上將OA和Server切割開來
應該只是方便用來找出病毒問題的來源所在囉
是的, 沒有 100% 的資安, 只有加強被入侵的成本, 減低損失的方向.
區分不同部門除了方便找病毒外, 還有幾種方式可以考慮:
a. 在防火牆或主機設定限制時間存取.
b. 只有登記過的電腦網卡才可以連線(可以預防一般自備電腦或偷架無線基地台).
c. 設定不同主機或服務的備份機制.
看影片追技術