tai*_*wie 8 networking security static-routes domain
我们的域由大约 60 台计算机组成。我的任务是确保 Windows 10 工作站无法相互通信。我的经理要求我创建静态路由,以便计算机只能与网络打印机、文件服务器、DC 通信并访问 Internet。
由于所有这些计算机都在同一个网络上,我不相信静态路由会阻止这些计算机相互看到。允许域中的计算机使用网络资源但不直接相互通信的最佳方法是什么?
小智 16
如果您有支持它的交换机,用于有线连接的“受保护端口”或用于 Wi-Fi 接入点的“客户端隔离”可以帮助您消除同一第 2 层网络中主机之间的流量。
例如,这是来自Cisco 交换机手册:
受保护的端口具有以下特性: 受保护的端口不会将任何流量(单播、多播或广播)转发到同时也是受保护端口的任何其他端口。数据流量不能在二层保护端口之间转发;只转发控制流量,如PIM 报文,因为这些报文由CPU 处理并通过软件转发。在受保护端口之间传递的所有数据流量都必须通过第 3 层设备转发。
因此,如果您不打算在它们之间传输数据,一旦它们受到“保护”,您就无需采取任何措施。
受保护端口和非受保护端口之间的转发行为照常进行。
您的客户端可以受到保护,DHCP 服务器、网关等可以在不受保护的端口上。
27-07-2017更新正如@sirex 所指出的,如果您有多个未堆叠的交换机,这意味着它们实际上不是单个交换机,受保护的端口不会阻止这些.
注意:某些交换机(如专用 VLAN Catalyst 交换机支持矩阵中所述)当前仅支持 PVLAN 边缘功能。术语“受保护端口”也指此功能。PVLAN 边缘端口有一个限制,可防止与同一交换机上的其他受保护端口进行通信。但是,不同交换机上的受保护端口可以相互通信。
如果是这种情况,您将需要隔离的专用 VLAN端口:
在某些情况下,您需要阻止交换机上终端设备之间的第 2 层 (L2) 连接,而无需将设备放置在不同的 IP 子网中。此设置可防止浪费 IP 地址。专用 VLAN (PVLAN) 允许在同一 IP 子网中的设备的第 2 层隔离。您可以将交换机上的某些端口限制为仅访问连接有默认网关、备份服务器或 Cisco LocalDirector 的特定端口。
如果 PVLAN 跨越多个交换机,交换机之间的 VLAN 中继应该是标准 VLAN端口。
您可以使用中继跨交换机扩展 PVLAN。中继端口承载来自常规 VLAN 以及主要、隔离和社区 VLAN 的流量。如果进行中继的两台交换机都支持 PVLAN,则 Cisco 建议使用标准中继端口。
如果您是 Cisco 用户,您可以使用此矩阵查看您的交换机是否支持您需要的选项。
mfi*_*nni 11
你可以这样做,如果你做了一些可怕的事情,比如为每个客户端创建 1 个子网。这将是一个管理噩梦。
带有适当策略的 Windows 防火墙将对此有所帮助。您可以执行诸如域隔离之类的操作,但限制性更强。您可以对每个 OU 实施规则,服务器在一个 OU 中,工作站在另一个 OU 中。您还需要确保打印机(和服务器)与工作站不在同一个子网上,以简化此操作。
https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx
关于网络打印机 - 如果您不允许直接打印,而是将打印机作为来自打印服务器的共享队列托管,则可以使这更容易。由于多种原因,长期以来这一直是一个好主意。
我能问一下这的实际业务目标是什么吗?是否有助于防止恶意软件爆发?牢记大局/终点线有助于定义需求,因此这应该始终是您问题的一部分。