iT邦幫忙

0

MIS新手就遇到交接,該從哪下手?

大家好,首PO文筆不好請大家見諒,
小弟讀書時是讀資工,但卻沒讀好網通...((悔不當初

出社會後也沒有走本科,從事傳產業務,
後來親戚開了公司(30-40人),
因為覺得沒有太大需求,IT方面全部委外處理,
後來希望我有空能去幫忙看看狀況,
一去看不得了,

其中可能不曉得是否是技術上有誤會?我也不曉得該如何下手
煩請各位大大幫忙回答:

1.先前有請資訊公司整理的IP表,其中卻有好幾台電腦的網路是設定DHCP?
DHCP前提下有辦法管理嗎?就我的了解,公司不是應該固定IP甚至鎖MAC嗎?
資訊公司回答:先前佈建可能有其他考量導致使用DHCP
2.曾經被病毒困擾去年加裝了防火牆FG60C,順便讓公司一般USER只能存取內網,特定電腦通外網,卻發現因為IP設定沒有鎖MAC因此USER可自行更改IP,還是可以上網,甚至某些電腦用DHCP竟能通外網?是否因為IP配置不嚴謹,導致這些情形?
3.防火牆還在維護期間,資訊公司要我們不要自行更改設定,但資訊公司先前設定這個防火牆的工程師已經離職,上次問資訊公司的工程師說還要確定看看防火牆內設定的情形?就沒下文了,爬文後發現防火牆不是應該是先把整個網路都鎖起來再開通特定IP嗎?應該主架構不用動,我們自行應該就可設定連不連外網,但是因為1.的情形下,是否應該整個IP應重新規劃?
4.我到FG60設定擋掉TEAMVEIWER,卻發現每台電腦還是可以使用,懷疑防火牆根本沒有作用?
5.用了3種門禁系統,不曉得當時規劃的詳細情形,到了機房才知道門禁系統有三套不相通,有整合門禁的方法嗎?打掉重練又太花錢
5.手機遠端看監視器的APP是使用APPLESTORE上非原廠開發的APP?甚至現在當時APP已經停止更新,導致新的IOS不能看,現在只能用TEAMVIEWER連到監視器主機看,請問一般監視器系統是否應該都有原廠APP?
6.雲端虛擬主機有3台,2台提供服務,1台備份,但完全不了解雲端虛擬主機提供了哪些服務,資訊公司說是以前的公司資料還要確定內容,這樣的情形是正常嗎?

今天公司整個網路都斷了,
還在查明原因
只覺得問題非常多又不曉得該從哪下手...
砍掉重練怕出事,維持這樣又不是辦法?
公司整個佈建完成才3年內的事,
卻發現整個東西一團亂,又很陽春,
希望各位大大給點建議了,謝謝你們!

看更多先前的討論...收起先前的討論...
1. DHCP 一樣可以綁MAC 呀,(例如由DHCP設定A電腦只能抓到固定的IP) 所以DHCP 跟固定IP 沒有衝突
2. 那是防火牆設定的問題,可以設定白名單,
3.防火牆還在維護期間, 是怎樣的維護合約. 如果是中華電信,可以請他們依造您的需求設定,但要您先清楚您自己要的規則是什麼
4. 同3
5.1'.當然有整合的方案,不過那是客製化,很有可能會比打掉重練更貴
5.2 監視器廠商太多,所以沒有標準答案,只能在第一次採購時選大廠商,並期望大廠商會持續更新APP
6.先搞清楚主機提供哪些服務, 資訊公司也不見得清楚,反正就是把舊系統放上去
但是舊系統是什麼,也有可能是原本就有,資訊公司事後才接手,所以也不清楚
黃彥儒 iT邦研究生 2 級 ‧ 2018-05-02 13:38:00 檢舉
52補充,當初選購時如果有支援NAS,就不會有單一廠商無法維護的問題,監視器的網路隔離會比較好
froce iT邦研究生 3 級 ‧ 2018-05-02 15:46:20 檢舉
這就是不重視資訊整體規劃的下場。
1.DHCP server給他關掉,然後你就可以抓到哪幾台不能上網。
2、3、4.防火牆規則打掉重練,然後漸漸改成綁 IP 和 MAC 的方式。
5-1.或許找其中一家廠商再重新規劃整體方案會比較可行。
5-2.或許找可以儲存到NAS的,再透過NAS廠商的軟體來處理。
6.我們又不可能知道你們公司和外包資訊簽了什麼合約,規範到什麼程度。所以自己進去看吧。
CalvinKuo iT邦大師 7 級 ‧ 2018-05-02 16:33:32 檢舉
5. 原廠不見得好用... DVR主機若有支援,有個APP 叫 Guarding Expert Android/iOS都可以用。但要開防火牆供外部連線...
覺得沒有太大需求,IT方面全部委外處理,
後來希望我有空能去幫忙看看狀況,
一去看不得了,

如同上面說的 不重視資訊整體規劃的下場
所以除非你能專職在親戚開的公司,不然你的協助也很有可能是提油救火
黃彥儒 iT邦研究生 2 級 ‧ 2018-05-02 21:49:32 檢舉
IT全面委外是沒有問題的,重點是要找到負責任有技術的系統整合商
Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:16:22 檢舉
感謝各位大大的回覆,以下一一回覆大家
竹大:1.感謝您的DHCP解釋,本以為就是一個自動配給IP的東西,做一下功課感覺可以拿來用2.其實之前公司沒有IT,維護合約就真的是,,,維護合約,只有寫幫貴公司維護防火牆至某年某月,之前自己對防火牆不懂,K了許多網路上的資料變略懂略懂但來是不太敢去動裡面的POLICY 5.1看樣子能用就還是先不理它了 5.2只能期待更新了 6.問公司的人也沒人知道,資訊公司也說要再確認,只好再想想辦法進去看看了....
感謝您的提醒,現在做的改善措施也怕真的是提油救火,但就是藉這機會看看資訊公司是否有唬爛的嫌疑,若沒就繼續沿用,若有就更換實在一點的公司了,小弟實在也分身乏術又能力缺乏,還是給專業的來吧, 謝謝您!
Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:18:47 檢舉
彥儒大大: 公司有購買NAS系統,但.....全部都由一家廠商佈建,所以變成整個就是找一家廠商,只是廠商完全沒使用到防火牆的DMZ讓我有點懷疑就是了.... 感謝您!
Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:26:43 檢舉
F大:1.直接關掉DHCP SERVER應該是最快的方法了,不怕你們見笑,其實先前一直以為DHCP就是一個DEFAULT的設定,只是發現公司30幾台電腦,其中4台電腦用DHCP還能上網讓我質疑而已,做了功課覺得善用DHCP真是不錯的方法呢
2、3、4 自己實在不敢動,因為防火牆還在維護期間,現在請廠商協助這些工作,但是廠商先前一直說設定防火牆的工程師已經離職,就讓我不安心呀...
5-1現在還正常運作,就先不打算理它了 5-2聽起來是個好方法,但是全部都委託一間廠商包,所以....還是只有一家廠商可以問... 6.唉...維護合約真的就是..."貴公司的雲端虛擬機器維護 至 某年某月"就只有這樣...
謝謝您的回覆!
Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:27:20 檢舉
C大:我再去試試看,謝謝您!
一尾 iT邦研究生 1 級 ‧ 2018-05-03 12:12:04 檢舉
我比較想知道你有多少的主導權跟這些事件的優先順序
感謝檢舉,自刪
Holaamigo iT邦新手 5 級 ‧ 2018-05-04 18:15:52 檢舉
請問台南有推薦廠商嗎? 謝謝大家
上次處理安南區一家作車刀五金的,光跟業主說明就讓人想打退堂鼓。
傳產導入資訊化會容易失敗,不是沒有原因的,所以這種案子少碰為妙...呵。
1
runan5678
iT邦新手 2 級 ‧ 2018-05-02 16:38:41
  1. DHCP或固定IP都可以管理,各有優劣,IP-MAc binding也有多種方式能做,建議先去了解看看 那幾台使用DHCP設備再來決定怎麼處理
    2.3.4 屬防火牆問題,需要先有管理上的想法才會知道要怎麼規劃policy,可以先登入防火牆設備看看記錄檔,有沒有正常套用設定的policy
    5-1 門禁系統小弟不太了解...
    5-2 不要太期待手機觀看監控系統畫面這種事,這種選項只能往大廠靠齊,但偏偏成本又相對的高
  2. 登入去各台伺服器看到底提供什麼服務

綜上所述,建議先檢視資訊公司提供的資料,然後實際去看看狀況再與資訊公司討論。

網路的部分您需要的是網路架構圖和實體線路的資料相關文件,如果沒有現成的文件,只能土法煉鋼慢慢釐清了

Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:35:29 檢舉

R大:1.其實使用DHCP的電腦佔非常少數(大約4/30),所以才懷疑是否是資訊公司的漏洞,會朝IP-MAC BINDING的方向去執行,再看看能不能搭配DHCP去執行了
2.3.4其實公司只是希望能限制特定電腦上網功能,觀念上應該不難,只是廠商說不要去動,自己又不熟,所以還是交給廠商處理,只是有點質疑而已
5-1沒關係,謝謝您 5-2只好再試試看了 6.稍微進去看上面是DOS介面的VMWARE ESXI...可能還要想辦法進去看看了
現在已請廠商找當時的網路規畫圖((廠商是說要找找看,希望是有..
禮拜五要談,希望廠商文件有齊全...
感謝您回覆!!

runan5678 iT邦新手 2 級 ‧ 2018-05-03 08:26:02 檢舉

6的部分如果確定是VMWARE Esxi新版的透過web就有管理介面了,舊版的可以裝個管理用的client端工具。

2
mytiny
iT邦大師 2 級 ‧ 2018-05-02 23:08:00

現在版上各路高手很多,知識也很豐富
不知怎地,明明是給建議回答,
卻都留言在沒有討論的討論區回答

小弟簡單回答樓主三部分問題
一是網路相關,應該全都出在對Fortigate的不熟悉
資訊公司居然可以不讓業者做設定
然後此公司還根本搞不定客戶的防火牆問題
如不是樓主誇大,就是遇到不負責任的廠商
就小弟所知,FG-60C在2015年一月就停售了
若非型號報錯,不知樓主去年是如何買到幽靈機
而Fortigate本身就可以做DHCP server,綁定IP & mac
同時也可以直接綁定設備+IP+帳號,通俗稱法為BYOD
至於擋應用程式Teamviewer根本小菜一牒(只怕樓主的廠商根本唬爛)
所以整個網路問題,一台FG-60C根本可以搞定,是人而不是機器的問題

二來說門禁系統,樓主可知有時門禁系統可能本就該各自獨立
按樓主的意思,小弟猜不過是想用手機可以看各系統罷了
簡單,啟用FG-60C上的SSLVPN(免費的),
手機連上就可以看內網監視器主機,既安全又方便
若只是怕打掉重練多花錢,這就是心態不對
IT做該做的事,花當花的錢,現在就不致這麼痛苦了,根本也沒省到錢

三雲端問題,看來仍然是人的問題
樓主大大,公司自己都不知自己買了那些雲端服務
您說這是正常還是不正常
難怪資訊公司會一推說不知
就算說知道是哪些,貴司分得出是真是假嗎?

非常感慨樓主的這個主題
相信其實還有很多狀況是未揭露的
今天公司整個網路都不通,或許並不是件壞事
如果好幾天全公司網路都不通,且樓主跟資訊公司都搞不定
相信將來你老闆就再不會輕忽網路建設的重要了
就怕樓主也不回應版上這些好朋友
大家說了也是白說,過陣子沒事又過眼雲煙了

看更多先前的回應...收起先前的回應...
Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:49:32 檢舉

M大:
一.小弟對網路操作方面大約只停在IP的計算那章節了,Fortigate的部分,只能網路上爬文找資料,廠商又說不要去改其中的東西,基於能力與廠商建言,實在不敢去亂動,公司的網路佈建差不多在2015年沒錯,感謝M大所說的功能,我再來研究看看有沒有網路上的參考方式了,禁TEAMVIEWER是我進去防火牆看到有設定禁止,但是卻每台電腦都能用....(?)
二.門禁暫時都可用,就暫不理它了。對Fortigate真的是很多功能都還尚須開發,感謝M大SSLVPN我會再爬爬文,哀...現在是怕被之前廠商騙了,不然老闆也是覺得好用的東西就是要花錢的
三.公司裡真的沒人知,維護合約也只是寫幫你維護這些機器多少錢,就這樣...,因為公司資訊方面從最一開始到現在都是同一家公司處理,想說他們應該要知道,事到如今只好再想辦法進去看看了

哀...相信沒遇到的問題還很多,小弟目前也無法專職於此,還有本業要做,今天下午才有辦法趕回公司查看機房,原來是Fortigate的變壓器,莫名掛了,所以連外都掛了,所幸跑趟材料行就搞定了,現階段大概就是不出問題就沒問題吧
相信M大一定是過來人,非常感謝大家的回應,這些問題其實卡了很久,基於自身能力實在不足,不斷爬文又沒有良好效果,才趕緊辦了帳號上來詢問,大家的回應小弟感激不盡,謝謝M大

---刪除---

hsiang11 iT邦研究生 5 級 ‧ 2018-05-03 12:03:31 檢舉

同意樓上看法60C已經是非常多年前的機器了,我去年買的都60E了,如果60C是跟廠商花錢買來的,我看問題大了
而且委外如果都問題一堆,那我會懷疑這家廠商不專業
由其有人離職,可能已經搞不清楚公司內部狀況沒有交接好

問題其實要丟給委外廠商處理,再評估他們能力夠不夠,
很多都是不夠專業還能接案 這就奇了

因為每日回答次數用完 = =......

mytiny iT邦大師 2 級 ‧ 2018-05-03 13:45:20 檢舉

關於Fortigate的功能
小弟提供幾個影片供您參考
由於不知樓主系統版本(FG60C最高只能到5.2.13)
強烈建議要求該資訊公司義務升級到最高版本(否則稱啥維護)
相關影片中有些版本不對稱,請見諒!(但功能是差不多的)

開始之前的基本設定
1.不用管IP了,直接管設備,讓user怎麼換IP都沒用
設備辨識BYOD
2.應用程式控制需要有原廠的服務授權,但方式如下
基礎應用程式控制
3.防火需要會觀察現況以解決問題
防火牆FortiView功能

以上希望對樓主有幫助
真不成,請聯繫本地辦公室吧
付點技術服務費總有人願意幫忙打掉重練的

Holaamigo iT邦新手 5 級 ‧ 2018-05-04 18:15:37 檢舉

請問台南有推薦廠商嗎? 謝謝大家

1
bluegrass
iT邦新手 2 級 ‧ 2018-05-02 23:49:42

用DHCP沒什麼不好的, 反而用了還更好管理, 你想想自己要整理文書還得建一個EXCEL去管理自己手動分派的IP, 那天你走了忘了交接問題又要來了
何不一開始就分派好要自動派的IP, 然後SERVER都放到DMZ用另一組SUBNET IP
一砌都變美好了

你知道FORTIGATE有EXPLICIT PROXY功能嗎?
那怕你的用戶是CCIE的級別, 老子就不信FG用了EXPLICIT PROXY你們USER改了DHCP還能上網, 隨便改喔, 不用PROXY就不能上網, PROXY IP就是 FIREWALL GATEWAY IP, 有種就把IP改成GATEWAY IP, 查個ARP TABLE馬上就能把人抓出來
順帶一提, EXPLICIT PROXY還能配合WEB CACHE使用, 連上網都快了, 流量又省了, 爽不爽?
然後你公司沒DOMAIN / DC的嗎? 為什麼用戶可以自行改IP, 真兒戲

叫資訊公司去食屎吧, 自己動手, 豐衣足食

你是如何設定的呢? 圖放上來好不好, 要不你UTM LICENSE沒效了, 要不你設定錯
千錯萬錯都不是FORTIGATE的錯

你覺得呢?
我都想IOS和ANDROID整合

監視器系統有沒WEB介面/WEB SERVER功能, 有就防火牆開放PORT不就好?

雲端虛擬主機就是一個平枱給你放伺服器, 然後一般風火水電所有硬件問題都由第三方負責, 你是要確認自己在使用的服務計劃嗎?

Holaamigo iT邦新手 5 級 ‧ 2018-05-03 00:54:45 檢舉

B大:1.看了許多大大建議,會考慮IP-MAC BINDING+DHCP試試看,先前廠商完全沒使用到防火牆的DMZ方面,也讓我有點質疑..
2.FORTIGAT功能,我真的不懂,感謝B大的建議我會去找找EXPLICIT PROXY的相關資訊,聽起來非常實用呢!
3.外行被人欺...
4.目前在跟廠商尋求規劃圖,廠商可能也還在找那些資料吧...
5.有WEBSERVER,但WEB介面用手機用還是有點卡...
6.因為我懷疑把那台雲端虛擬主機關掉半年也沒人會知道...,最近廠商打電話來詢問說雲端主機的備份主機壞了要來修,但是沒人知道裡面是什麼....這是什麼奇怪的情形...

感謝B大的回應,謝謝您

goodnight iT邦研究生 4 級 ‧ 2018-06-14 17:54:35 檢舉

DHCP管理的問題還蠻多的

0
pis520
iT邦新手 4 級 ‧ 2018-05-03 07:58:42

個人淺見~
看您的書面說明,我相信貴司當初就為了省錢,沒有適當規劃,聽到要花錢就頭痛,這是很多老闆的通病,可以花錢買BMW或Benz,也可以花錢換一顆四萬元的輪胎,還一次換四顆,決不手軟,因為花的都是公司的錢...《抱怨一下》。
但資訊機房的任何設備若要更換,第一個聽到的就是【要用那麼貴的嗎?】【不能修一修再用10年嗎?】【別的公司也沒用這個吧!】【回扣有多少】.....諸如此類。
人才是公司賺錢的根基,設備是保護公司資產及幫助公司賺錢的器材。
請個專業的人才,或者找家優秀委外廠商,自己搞只是一時,真的出狀況時,你無法擔保資料的遺失,若公司不在意,那就亂搞吧!反正公司又不靠設備保護資產,也不靠設備營運賺錢,讓它停機一星期吧!薪水照領,每天還是咖啡配蛋糕嘍!!
希望你的能力超越老闆的期待,加油!!

一尾 iT邦研究生 1 級 ‧ 2018-05-03 18:23:13 檢舉

其實這不能怪老闆,人們在把錢花在自己不熟的領域時都會有這個問題。就像買專業相機來說,我也沒辦法了解一個幾千元的鏡頭跟幾萬元的鏡頭差在哪。

Holaamigo iT邦新手 5 級 ‧ 2018-05-09 00:19:27 檢舉

感謝大大的回應,
應該說公司大部分人都不懂資訊,只要能上網或者處理基本功能就滿足,沒有考慮到安全性、整體性這些東西,畢竟出事前都沒事,出事再花錢處理的心態吧,只好能幫多少是多少了...

0
ak02
iT邦研究生 4 級 ‧ 2018-05-03 09:20:16

換委外資訊公司 .

Holaamigo iT邦新手 5 級 ‧ 2018-05-04 18:16:13 檢舉

請問台南有推薦廠商嗎?

0
yesongow
iT邦大師 1 級 ‧ 2018-05-03 15:09:23

先找出網路交換器的型號,有沒有網管功能?

從這裡下手收集IP及mac-address,再做使用者辨識及登記(開IP白名單 and 其餘IP全擋)

再畫出公司網路架構圖與FW關係圖,以便了解需要開哪些通訊協定(開通訊協定白名單and 其餘協定全擋)

不管雲端用哪些服務,先規劃備份及異地復原吧!
對了!UPS換過電池了嗎?這夏天會不會供電吃緊呢?

記得預防跳電造成資料遺失or 系統故障喔!

Holaamigo iT邦新手 5 級 ‧ 2018-05-09 00:29:18 檢舉

公司使用HP 1810-24G,詢問資訊公司有沒有開啟WEB功能,回應我說關掉了...這樣是否要跟資訊公司拿登入的帳號密碼,自己接CONSOLE?
有跟資訊公司要當初的"網路規劃圖"跟"實體佈線圖",本來期會給完整的圖,結果只給"概念圖"上面只寫了什麼東西接到什麼東西,然後很正經的說...詳細的圖叫作"昇位圖",不叫網路規劃圖,不曉得是不是在玩文字遊戲還是我不夠專業...
打算把其中機房中一台較沒用的主機多插幾T的硬碟,然後把NAS定期備份到那台上
感謝大大提醒,去看了UPS發現上面顯示的健康狀況剩一格,要叫資訊公司找時間來看看了,
感謝您!

yesongow iT邦大師 1 級 ‧ 2018-05-09 15:22:55 檢舉

如果是飛瑞 & 台達電,僅用一組5階式LED燈號
有市電時,代表設備負載量
停電時,代表電池剩餘量

所以,你應該是看到20%的設備負載量喔!
最好貼圖來看,為準!

另外APC SUA系列 & 科風SMK系列,都是使用兩組5階式LED燈號,分別代表電池容量 & 負載量
消費者才不容易搞錯!

yesongow iT邦大師 1 級 ‧ 2018-05-09 15:23:33 檢舉

是否要跟資訊公司拿登入的帳號密碼,自己接CONSOLE?

yes

0
goodnight
iT邦研究生 4 級 ‧ 2018-05-07 20:14:04

ANS1: 先把所有的電腦設成固定IP, IP全部重新整理, 照道理來說沒有 DHCP 的需求, 只有筆電可以配發DHCP
ANS2: 中毒不是去禁止USER上網, 而是要加裝防毒軟體
ANS3: 建議先不要動防火牆, 先熟悉防火牆的設定, 在變更前先備份原有的設定檔
ANS4: Teamviewer是用來維護工作站的, 沒有鎖的必要性
ANS5: 3套系統又如何, 有影響嗎? 如果沒有影響就不用花錢改善, 因為它不是重點, 要改善, 你還得去了解哪套系統最多讀卡機, 哪套系統最好用, 哪套系統跟人事系統有連線, 再評估如何整合更換
ANS6: 有機會更新監控主機吧, 別用那種低階的主機, 用好一點的, 差沒多少
ANS7: 雲端主機, 這你要慢慢了解, 我沒法幫忙

一般來說小的資訊公司都會用設定和難度高的設備綁住你們這種客戶, 所以你要先把環境裡所有的管理帳號和密碼整理出來, 慢慢的把設定建立書面記錄資料

我建議你先從工作站的 IP 重整開始, 觀念先進一點, 不用去鎖工作站能不能上網的問題, 反而要注重防毒的功能, 建議安裝卡巴的企業版

如果一定要限制上網, 建議 IP 1~30/27 是可以上網 , 31以後就不可以上網, 防火牆就很好設定, 但還是建議你開放啦, 沒有那麼嚴重, 大家都有 E-MAIL 工作不是很方便嗎?

Holaamigo iT邦新手 5 級 ‧ 2018-05-09 00:38:46 檢舉

G大,謝謝您的建議
當然正常懷疑資訊公司有用設定難度來綁住我們,但也只好在這樣的環境下把東西慢慢拼回來了,目前開始整理IP跟了解先前防火牆的設定,接下來最基本的應該是G大說的使用防毒軟體了,會考慮使用卡巴,
限制上網的部分,我還是先把防火牆摸熟再來想想辦法好了...

謝謝您的回覆!

0
suasem
iT邦新手 5 級 ‧ 2018-05-08 10:41:35

看下來感覺沒建AD,還是每個人都是Domain Admin,不能動防火牆的話,AD也能做很多事...

Holaamigo iT邦新手 5 級 ‧ 2018-05-09 00:40:00 檢舉

目前沒有建立AD,有在考慮要不要導入,但是在沒有人長期維護的前提下,不曉得導入會不會造成困擾...
感謝您的回覆!

goodnight iT邦研究生 4 級 ‧ 2018-06-14 17:52:45 檢舉

建議用好一點的pc或入門級的機架當AD就好, 導AD困擾反而少, 好管理

我要發表回答

立即登入回答