3

У меня есть несколько компьютеров в незащищенной сети (со сторонними, ненадежными компьютерами). Мои компьютеры и компьютеры сторонних производителей находятся за одним и тем же брандмауэром.

В настоящее время программные брандмауэры моего компьютера настроены на блокировку всего трафика с других компьютеров в сети. К сожалению, это не позволяет моим компьютерам общаться друг с другом. Я хотел бы изменить настройки таким образом, чтобы мои компьютеры могли безопасно взаимодействовать, но никакие сторонние системы не могут выдавать себя за один из моих компьютеров или подслушивать связь между моими компьютерами.

Эта проблема:

  1. Я не могу изменить брандмауэр, что все компьютеры позади
  2. Я не могу использовать статические IP-адреса

Это можно сделать с помощью VPN или второго аппаратного брандмауэра? Если нет, есть ли другое решение?

Я имею полный доступ администратора ко всем моим компьютерам и могу добавить любое необходимое оборудование. Все мои компьютеры в настоящее время используют Windows 7.

3 ответа3

3

VPN звучит как правильное решение вашей проблемы, убедитесь, что выбрали тот, который не зависит от статических IP-адресов (технология должна зависеть от статических IP-адресов, а скорее от установленных сертификатов, но поскольку статические IP-адреса проще в настройке, он не может Предполагается, что данный VPN не зависит от них).

Второе F/W или другие решения на основе маршрутизации были бы трудным предложением из-за проблемы статического IP.

2

Я интерпретирую ваш вопрос в моем ответе здесь (а не редактирую его утверждения).
Таким образом, если я неправильно понимаю, вы можете помочь с комментариями (и я обновлю свой ответ).

  1. У вас есть права администратора группы компьютеров (обозначьте их как группа « X »)
  2. они за интернет-брандмауэром
  3. Однако здесь есть и другие компьютеры, которые вы называете 3rd party (назовите их группой « Y »).
  4. У вас нет полезного доступа на машинах группы Y
  5. Вы хотите защитить машинные коммуникации группы X

Ваше требование выглядит как типичные сервисные среды, берущие работу по контракту из разных источников с необходимостью разделения всех действий между источниками. Таким образом, каждый связанный с контрактом набор машин будет рассматривать все остальные машины как 3rd party . Однако у вас возникли проблемы с физическим выполнением этого раздела - возможно, из-за динамического характера работы по контракту; это будет означать частое изменение настроек.

Вы также можете находиться в арендуемой среде с другими людьми, имеющими общую охрану периметра.

Другая аналогия - сеть защиты.


Вы можете искать решения на основе MACsec , которые защитят ваши сетевые коммуникации.
Они будут развернуты только на ваших (группа X) компьютерах - остальная часть вашей внутренней сети будет прозрачна для этого. Однако вам потребуется какой-то способ связи с устройствами за пределами вашей группы X Это может быть какое-то шлюзовое устройство или способ связи без MACsec с этих машин.

0

Одним из возможных решений, встроенных в Windows, является IPsec, который поддерживает аутентификацию с помощью сертификатов X.509, предварительных общих ключей или Kerberos.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .