iT邦幫忙

0

請問高手們,我司的AD主機也是DNS主機,並透過防火牆上Internet。

如何讓AD Server不能上Internet(避免伺服器主機中毒),又不引響到USER電腦上網呢?

看更多先前的討論...收起先前的討論...
hon2006 iT邦大師 1 級 ‧ 2017-10-19 14:39:46 檢舉
防火牆限制ad主機對外只能用dns
丹尼 iT邦研究生 4 級 ‧ 2017-10-19 15:12:23 檢舉
流量限制
避免伺服器主機中毒 => 如果這是你的目的,你最後會變成,內部中毒了,伺服器跟著中毒了
你的思維還是很傳統,以為不上WLAN就不會中毒,事實上最大的病毒來源都是LAN,不是WLAN
多角化思考是IT人員都要學習的功課,以中毒來說,來源太多了,所以你要思考的不只是 WLAN,還有很多路徑
甚至包括內部人員攻擊,所以,如果這些都預料到了,你就知道,讓伺服器不能上網,根本防不了病毒或攻擊
甚至就算你伺服器不拉網路線,都有可能中毒,你覺得來源是哪裡
那該怎麼解決最好?
hon2006 iT邦大師 1 級 ‧ 2017-10-19 16:06:48 檢舉
就ad裝掃毒,ad跟其他電腦網段分開,定期更新系統備份換密碼,不要用ad來上網.這樣會中毒也是人品不好吧!

1 個回答

0
門神JanusLin
iT邦超人 1 級 ‧ 2017-10-19 14:42:35

現在有些防火牆有內建DNS Server
價格不高
例如
Vigor300B
Vigor2960
NFW-560
萬把內就有了 ^^

看更多先前的回應...收起先前的回應...

請問FortiGate 60D有嗎?

那台他不認識我 XD

hon2006 iT邦大師 1 級 ‧ 2017-10-19 15:13:32 檢舉

舊版的fortios才有內建 dns server

門神大大提供是不錯的方法,但是好像就不能解析網址了唷

你用猜的作答
我是實戰經驗
工程師對就是對
錯就是錯
怎會用好像

那你的設定方法是?可以借參考嗎?謝謝

AD不上internet
DNS 有主要/次要
DNS Server也有遞迴查詢
有cache/proxy/server的動作

內對外 pc client
dns主要AD
次要外部DNS
外對內的 查詢用 前端 Firewall 內建的 DNS代替

我要發表回答

立即登入回答