iT邦幫忙

1

網路切割與劃分問題

小弟不才,最近主管提出一個挺奇怪且無腦的需求
他希望內部的網路跟外部網路做一個全面性的區隔
他希望可以連到內網的電腦,要無法連到外部網路
可以連到外網的電腦,又不能連內部的網路(erp,outlook等系統)
且是在同一台電腦上面
我目前想到只能切兩個vlan,電腦裝兩張網卡
使用的時候再進行切換
各位大大不知是否有更好的方法呢?
以上,感謝大大協助

ayu iT邦研究生 2 級 ‧ 2017-02-25 18:46:06 檢舉
通常是希望確保資料不會輕易外洩. (但資料攜出的方法多的是)
實務上是可以做到, 但要想清楚完全斷開內外網的後果/解決, 例如病毒碼/程式/OS更新, email往來..等諸多不便.

麻煩之處仍在使用的人, 如果不按規定亂搞而製造各種狀況, 主管的想法(希望這樣做的真正理由)與支持態度如何?
還是純粹構想問問而已? (並沒想清楚後果)
魷魚 iT邦新手 3 級 ‧ 2017-03-01 11:41:32 檢舉
主管這想法頗不錯阿,蠻有資安概念的XDDDD
但我看不太懂而是在同一台電腦上面的意思
只是A電腦有時要單連外網,有時要單連內網的意思嗎?

這樣你要先釐清主管提出這需求的原因,就像nansen大說的,他是想提升資安強度還是單純要限制內網跑外網?

不過你這樣的架構讓我想到當兵時,國軍的架構就是像你說的,軍網民網,用兩個架構去運行,這樣就可以實體隔離兩個區域,扣掉人為因素應該安全性蠻高的:D
1
Kert
iT邦新手 4 級 ‧ 2017-02-26 07:29:39

我還真碰過這種要求 我也是狗腿還真施工了 老闆有錢真任性

每個座位 兩個資訊插座 一個內一個外

ayu iT邦研究生 2 級 ‧ 2017-02-28 04:09:19 檢舉

/images/emoticon/emoticon12.gif

ak02 iT邦研究生 4 級 ‧ 2017-03-01 11:40:59 檢舉

我也遇到過,全公司只有上外網的一台電腦,而且還要填寫申請單才能使用.

1
馬克懶得下床
iT邦研究生 5 級 ‧ 2017-02-26 11:24:21

把流量速度降低 客戶就無法連接外網 限制時間吧
或者安裝一些阻斷器

1
nansen
iT邦新手 4 級 ‧ 2017-02-26 12:29:46

同一台電腦兩張網卡做不到,因為電腦會根據網段選擇網卡,最後會變成對內部通,對外部也通的情況

實體隔離是指兩台獨立的電腦分別連接獨立的網路,連網路設備都不共用完全隔離的狀況

這問題首先要搞清楚的是目標為何,是防止資料外洩還是單純不想讓員工對外上網增加生產力

  1. 防資料外洩除實體隔離外還需要DLP軟體補強如USB等儲存媒體存取才足夠,甚至在資料敏感區需要禁止攝影器材進入,存取機敏資料須留下系統紀錄
  1. 防止對外連線上網可使用proxy等機制做過濾或者使用內部的DNS做黑名單阻擋,抑或者在防火牆上直接阻擋特定IP內對外存取,但是這只能治標不能治本,員工可以使用手機或者USB網卡連接無線網路上網,如果是這種需求建議直接採行政命令方式執行
2
lonsin
iT邦研究生 2 級 ‧ 2017-02-27 17:24:30

我以我的工作經驗分享,之前待過SI,負責兩個政府機關(電腦都超過五百部以上,只中部五縣市而已),由於一個負責國有土地、一個負責出入境,因此資料都非常敏感,因此不約而同地採取內、外網實體隔離,規畫對外連線專用電腦,這是目前已知最安全的做法 => 其他什麼VLAN、...,都還是有可能被突破,網路實體隔離,你試試突破給我看看?

很好奇貴公司是什麼行業?如此重視內部資料,網路實體隔離,其實不會增加建置成本,只需變更網路架構即可,單純的內網歸內網、外網歸外網,一分為二,彼此互不相連

我要發表回答

立即登入回答