这样的局域网内的安全要求怎么解决?

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

这样的局域网内的安全要求怎么解决?

#1

帖子 百草谷居士 » 2007-11-16 12:04

我们公司有将近十几台电脑通过一个ubuntu server共享上网,其中财务科有6台电脑。由于为了共同通过ubuntu server上网,所以处于一个网段内,这些机器可以相互访问对方的共享文件。处于安全考虑,现在所有财务科的机器上的共享文档不想被其他机器访问,这些机器的共享文档可以被财务科内部的机器正常访问和修改。
由于单位人比较多,即便设置了密码,这些密码经常被其他科室探测到,所以分别为这些共享文件夹设置密码既麻烦又要经常更换,很不方便。
我想解决这个问题,由于对网络不懂,只是思路:
1、将财务科这几台机器通过某种网络设置,成为一个单独的局域网,但是又不影响整个公司共享上网。
2、或者,使用ubuntu作为财务科这几台机器的安全认证服务器,访问财务科的电脑必须通过ubuntu的认证。好像windows中的域控制器有类似的机器。听说samba的pdc类似于域控制器。但是我无论是对windows的域控制器还是ubuntu的samba都不清楚。

希望各位给指点一下,该如何解决这个问题。
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

#2

帖子 百草谷居士 » 2007-11-18 16:08

自己顶一下,希望高手指点一下。
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
heaviness
帖子: 10
注册时间: 2007-11-09 12:34

#3

帖子 heaviness » 2007-11-19 9:27

首先声明,我不是高手,:-)
根据你的思路1, 我们可以尝试:
1.设置一台机器作为财务部的网关连接到你公司的网络上,然后通过你公司共用的网关/路由上网。财务部的电脑使用NAT通过该网关上网。
2. 在财务部内部可考虑使用另一台电脑作为文件共享服务器,所有的共享文件放在该服务器上,使用windows的认证机制,请参考SAMBA的配置。
以上供参考
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

#4

帖子 百草谷居士 » 2007-11-19 11:02

有一个问题我不太明白,连在一个交换机上,在一个网段内的这样的局域网的机器相互访问是不是不需要网关或者路由做中介,入股这样的话,网关或者路由是不是起不到这样的作用了?

是不是要弄两个交换机,然后在来一台双网卡的机器做NAT
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
heaviness
帖子: 10
注册时间: 2007-11-09 12:34

#5

帖子 heaviness » 2007-11-19 13:43

百草谷居士 写了:有一个问题我不太明白,连在一个交换机上,在一个网段内的这样的局域网的机器相互访问是不是不需要网关或者路由做中介,入股这样的话,网关或者路由是不是起不到这样的作用了?
正确
百草谷居士 写了:是不是要弄两个交换机,然后在来一台双网卡的机器做NAT
正确. 为了安全起见, 你应该在财务部内部增加一个交换机。
在那台双网卡主机上配置不同网段,比如说使用window XP的internet的共享连接, 把该主机上连接到你们公司公网上的网卡共享给财务部的网络(也就是连到你新增加的财务部的交换机上)
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

#6

帖子 百草谷居士 » 2007-11-19 14:01

谢谢!这样的解决方法应该可行。

第二种思路有没有解决办法呢?就是强制客户机在接受其他机器访问的时候,必须到一个共同服务器上取回访问规则,然后决定是否接受访问。这样客户机的安全管理等于集中一个服务器管理。
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
heaviness
帖子: 10
注册时间: 2007-11-09 12:34

#7

帖子 heaviness » 2007-11-19 14:19

这样有两种情况:
1。使用集中认证,共享文件系统在你的认证服务器上,这样我想应该没有问题
2。使用集中认证,各个客户机各自共享自己的一部分文件,这个我就不确定是否可以做到了... ;-)
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

#8

帖子 百草谷居士 » 2007-11-19 15:23

怎么集中认证呢?能不能给讲一讲。
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
头像
core
帖子: 209
注册时间: 2007-08-17 13:00

#9

帖子 core » 2007-11-22 17:31

满足你的第一个条件的,去买一块网卡(10/100m的¥20)和一个集线器(8口的¥60左右吧,财务科的专用),一台linux服务器开个dhcp服务,给非财务科的一个网段,财务科的一个网段,并且两个网段的的共享组的名字不要一样(防止互相访问),在linux服务器上设置一个共享文件夹,把大家全访问的文件放里(全部共享)。然后把smb服务配置上。
第二个条件 1)方案:就是加认证啦,用ssh登录,rsa认证可以自己设置,用固定ip地址,在每个财务部的ssh登录的配置文件里把能访问此机器的ip添上.别的电脑就访问不了啦。
2)方案:可以考虑用smb服务,不过这个我就不太清楚安全不拉,也是用固定ip+授权,不知道有认证不(自己看看吧)?


ok了!
larryxu
帖子: 1
注册时间: 2007-10-22 21:32

#10

帖子 larryxu » 2007-12-01 14:45

购买一个三层交换机,然后划分成二个或多个VLAN就可以解决上述的问题,而且可以很好解决广播风暴和ARP木马等一系列问题。
头像
ojt
帖子: 73
注册时间: 2008-01-12 15:00
来自: 广东顺德

#11

帖子 ojt » 2008-02-13 16:34

larryxu 写了:购买一个三层交换机,然后划分成二个或多个VLAN就可以解决上述的问题,而且可以很好解决广播风暴和ARP木马等一系列问题。
严重同意
小楼
帖子: 14
注册时间: 2007-01-30 22:14

#12

帖子 小楼 » 2008-02-20 10:28

1、硬件解决--ls说了,搞个3层交换机,建2个vpn
2、软件-
(1)、windows下:装个windows2003,建域,建立域帐户,这样共享的时候就可以访问设置权限了
(2)、Linux配置好ldap+samba,具体怎么做,我也还没搞出来,正在虚拟机里测试
头像
百草谷居士
帖子: 4025
注册时间: 2006-02-10 16:36
系统: debian12/xubuntu2404

#13

帖子 百草谷居士 » 2008-02-20 10:48

2、软件-
(1)、windows下:装个windows2003,建域,建立域帐户,这样共享的时候就可以访问设置权限了
(2)、Linux配置好ldap+samba,具体怎么做,我也还没搞出来,正在虚拟机里测试

我希望的就是在linux配置出来能够替代windows域控制器的东西,你搞好了,学习学习。
Mint 22 / Xubuntu 24.04

为何热衷于搞发行版的多,搞应用程序开发的少?Linux最多余的就是各种发行版,最缺的就是应用程序,特别是行业应用程序。
GMT
帖子: 63
注册时间: 2007-10-20 13:54

Re: 这样的局域网内的安全要求怎么解决?

#14

帖子 GMT » 2009-10-25 11:10

记号参考一下
回复