是这样的,我刚进公司老板就给了我一个任务,就是组改组公司的网络,公司有二十台机子,用一个宽带路由器共一根ADSL,所有的机子都能上网,非常混乱,用的都是98系统,没有任何的防范措施,软驱,USB口都没有屏蔽,时有技术外泄发生,所以老板痛下决心要改组现在网络,请各位大虾,给提提意见,不胜感激!
---------------------------------------------------------------
Windows 98要换成Windows 2000,否则很多安全性都无法实现
你需要做一个代理服务器,配置ISA Server 2000,管理限制上网
对于公司内部的技术资料,最好放到一台专用的服务器上
还有很多细节问题,说起来很麻烦。遇到具体问题再具体分析
---------------------------------------------------------------
只能做到尽可能的吧。
可以到网上,google查一下关于ISA的资料。
一个是技术手段,一个是行政管理手段。
---------------------------------------------------------------
使用路由和远程访问共享上网的快速设置:
1.以Administrator管理员身份进入服务器,打开路由和远程访问.进入“路由和远程访问”控制台以后,选择"配置并启用路由和远程访问",
2.进入配置向导界面,单击下一步,在公共设置中我们应为是要让服务器作为共享上网服务器,所以我们选择“Internet 连接服务器” .
然后向导将决定使用简单的ICS(Internet连接共享),还是功能更强大的NAT路由服务器。选择设置成为路由器 .
3.服务器将让我们设定所使用的连接互联网的接口,使用Enternet系列拨号的就选择 Efficient Networks P.P.P.o.E Adapter 即可,使用专线方式的那么选择连接ADSL邦定ISP提供的IP设置的网卡即可。当然如果你使用56K拨号等,则选择 "创建一个新的请求拨号Internet连接",按照新向导完成设置即可 .
4.向导将提示我们DNS地址解析设置,为了正确访问Internet网址,选择使用Internet上的 DNS 就可以了 最后安装向导将提示你,路由服务将为局域网地址范围内用户提供NAT路由服务,一般向导能正确自动检测出来局域网地址范围,点击下一步即可完成设置。
5.完成设置以后可以在控制台看到"网络地址转换(NAT)",里面定义了内部连接和外部连接的接口,查看属性可以确认是否选择了正确的接口。
6.服务器设置完成以后,需要对局域网内客户机进行设置。设置方法也很简单,把网关和DNS都设置指向Windows 2000 Server/Advance Server即可
---------------------------------------------------------------
抛砖引玉:
以在Windows 2000 Server中设置ICMP过滤为例
Windows 2000 Server提供了“路由与远程访问”服务,但是默认情况下是没有启动的,因此首先要启动它:点击“管理工具”中的“路由与远程访问”,启动设置向导。在其中选择“手动配置服务器”项,点击[下一步]按钮。稍等片刻后,系统会提示“路由和远程访问服务现在已被安装。要开始服务吗?”,点击[是]按钮启动服务。
服务启动后,在计算机名称的分支下会出现一个“IP路由选择”,点击它展开分支,再点击“常规”,会在右边出现服务器中的网络连接(即网卡)。
用鼠标右键点击你要配置的网络连接,在弹出的菜单中点击“属性”,会弹出一个网络连接属性的窗口有两个按钮,一个是“输入筛选器”(指对此服务器接受的数据包进行筛选),另一个是“输出筛选器”(指对此服务器发送的数据包进行筛选),这里应该点击[输入筛选器] 按钮,会弹出一个“添加筛选器”窗口。
再点击[添加]按钮,表示要增加一个筛选条件。在“协议”右边的下拉列表中选择“ICMP”,在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”,代表所有的ICMP类型及其编码。ICMP有许多不同的类型(Ping就是一种类型),每种类型也有许多不同的状态,用不同的“编码”来表示。因为其类型和编码很复杂,这里不再叙述。
点击[确定]按钮返回“输入筛选器”窗口,此时会发现“筛选器”列表中多了一项内容。
点击[确定]按钮返回“本地连接”窗口,再点击[确定]按钮,此时筛选器就生效了,从其他计算机上Ping这台主机就不会成功了。
---------------------------------------------------------------
用一个宽带路由器共一根ADSL
我想只要能上网,就有机会把数据带出去...
我的方案是:
如果要绝对的禁止数据外泄,但又要开通INTERNET.除非限制只能访问某个工作中要用到的网站,而且这个网站不能有BBS,FTP,MAIL等可以把文件或资料上传的服务.然后内部采用无盘工作站,摘掉软驱光驱,USB接口.