关于局域网共享上网和部门单向访问的使用和问题

best_diyer 2003-09-29 11:08:19

环境：
上网机，ADSL；财务部，预算部……
财务部，预算部等部门共享ADSL上网
需求：
财务部，预算部等部门共享ADSL上网
财务部能向外访问预算部等其他部门，但预算部不能访问财务部

方案：
在财务部和上网机之间添加硬件防火墙

急，请大家踊跃讨论，给出性价比最高的解决方案。面包，奶油一样都不会少。

...全文

99 32 打赏收藏转发到动态举报

写回复

用AI写文章

32 条回复

切换为时间正序

请发表友善的回复…

发表回复

sungod8 2003-10-24

打赏
举报

大家好,我来CSDN三个月了,时间不是很长,我对计算机网络很熟悉,欲申请WINDOWS网络管理板块的斑竹,希望得到大家的支持!

PS:
1.个人认为现在的WINDOWS网络管理的斑竹没有起到帮助网友的作用
2.我有大量时间在网上超过12小时

Windows网络管理 2003-09专家榜
名次论坛昵称专家分个人描述

1 muake 5101
2 sungod8 3549
3 zhllwarez 3547 取次花丛懒回顾，半缘修道半缘君。
4 wina 2830 MCSE & MCDBA
5 ysqu 2279 http://expert.csdn.net/Expert/TopicView1.asp?id=1388439
6 zenggao 2014
7 zhiqiu 1845 宠辱不惊，坐看庭前花开花落；去留无意，漫随天上云卷云舒。
8 ToUpdate 1539 在生活中，不希望她会因为我的过错而哭泣。在感情上，希望能让她永远可以确信，我此生只会爱她一人。在朋友圈子里，她永远可以因我而自豪。
9 ravenkatte 1535
10 lijiuhua0721 1140 失恋意味着新的缘分已经开始了

boyifeng 2003-10-16

打赏
举报

多种方式:
1. 域管理

2. 两个工作组的工作协议不一样,子网不一样

3. 客户不能更改自己电脑的网络设置

为了保险期间,还是划分成两个网络,中间通过firewall相连,最实惠了
也可以把firewall换成一台windows2000srv,不过软件不如硬件安全

Aven_fudan 2003-10-16

打赏
举报

防火墙可以且方便
VLAN也不错，配置起来也还可以，不是很麻烦的，但一定要买好配置的交换机，一般的智能交换机没这功能的

icefishing 2003-10-16

打赏
举报

从其他计算机上Ping这台主机就不会成功了，但怎样让我能访问他的共享文件夹，而他不能访问我的文件夹，

best_diyer 2003-10-16

打赏
举报

重点是单向访问，大哥些阿

boyifeng 2003-10-15

打赏
举报

一台服务器要比一台防火墙贵!
不过sungod8(琤)兄弟的发言技术性很强哦!

boyifeng 2003-10-14

打赏
举报

目前最好的方法就是买一个防火墙
要建VLAN的话,需要交换机支持,如果交换机不支持就得不偿失了!
如果交换机支持的话,建VLAN也不是很方便,毕竟你对VLAN和交换机不是很熟,如果在开始的时候要经常更改,将会是一件很头痛的事!
所以买一个firewall会很方便的帮助你管理这两个网络!

goldenLoveYou 2003-10-14

打赏
举报

咳～～楼上的兄弟你怎么不在西安呢？不然我一定去学习哦～～

best_diyer 2003-10-14

打赏
举报

to sungod8(琤) :
你的解答确实够详细了，我想知道怎样让我能访问他的共享文件夹，而他不能访问我的文件夹，sungod8(琤)，你救人救到底，送佛送到西吧。
最后请原谅我的无知。

sungod8 2003-10-14

打赏
举报

买防火墙要钱的!!

以在Windows 2000 Server中设置ICMP过滤为例:

　　Windows 2000 Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。

　　服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口有两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器] 按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。
在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型），每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容。点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。

squiffy 2003-10-10

打赏
举报

本人从事软件开发多年了，以前总是埋头钻研于技术，但是发现自己来北京这么多年了，认识的程序员朋友实在是太少了。因此想能成立一个程序员沙龙，在一个比较轻松自由的环境中探讨一下程序人生、新技术，同时可以多结识一些程序员朋友。将来或许很多IT精英在一起，可以有更好的发展空间，同时也为自己提供一个比较好的未来。现在已经不是可以单打独斗的年代了，自己也越来越觉得IT领域的技术发展真是日新月异，仅仅依靠自己的力量实在是太单薄了，因此希望可以通过沙龙性质的活动，可以认识更多的朋友，也希望可以给大家一个交流、学习的机会。
我联系了一个咖啡屋，大约可以容纳30人左右，有数字投影、便携机。每次活动每个人大约20元左右，活动形式我的打算是：每次安排一次流行的技术交流，同时也有一个大约的主题，不至于太海阔天空。大家毛遂自荐利用胶片给大家讲解、培训一下，同时大家心中的疑问可以提出来，请大伙帮忙共同解决。很多知识经过别人的讲解，可以更容易的理解，同时也可以锻炼自己的培训、演讲能力。剩下的时间，安排大家自由交流、互相认识一下。我觉得，一个人的成功在某个领域有更多的朋友是非常关键的。大家在一起多交流一下，很多思想的火花可以互相碰撞一下，或许可以对大家的将来都有好处。
我打算在本周日（10月12号）下午14:00～18:00举行第一次这样的沙龙活动。由于我是做网络出身的，因此想把第一次活动的主题安排成“网络专题”，由于网络专题实在是太大了我想第一次可能会是NGN（下一代网络）、网络安全、或者是基本的TCP/IP等，因为这方面我比较熟悉。活动地点在北京市海淀区清河永泰东里。
由于是第一次考虑举办这样的活动，心里也没有底，因此也不能100％的确定是否一定可以如期举行，因为包场大约需要500元左右，如果人太少大家花费比较高就不合适了。因此，还希望有兴趣的朋友能给我发一个邮件：
wangyihong78@sohu.com

我会视报名的情况，给大家发邮件联系的。邮件中最好能留下一下联系电话，如果是手机我一定承诺尽量使用短信方式和大家联系的。

squiffy 2003-10-10

打赏
举报

在访问控制中应用的较多的是基于ACL的IP包过滤技术，这种技术简单可靠，但缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。“基于流的访问控制”技术则可以解决这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的ACL允许表项，以允许相关的报文通过。
基于流的访问控制技术，可以实现你要求的“单通”需求。CISCO在路由器上，叫CBAC。PIX等防火墙都支持这种技术。但是，这个技术的一个缺陷是：只能支持TCP/UDP协议。对于类似GRE等 RAW socket的协议则很难支持了。
可以添置一个防火墙，将上网的ADSL设定在安全级别最低的那个接口，把财务部放在安全级别最高的那个区域，把其他部门放在介于两者之间的安全区域（DMZ区域）。

我个人觉得，仅仅依靠路由器是解决不了的。一般路由器不具有安全级别划分的功能。只能配置ACL访问控制列表。而ACL是实现不了“单通”特性的，只能实现网络在IP层的隔离。

best_diyer 2003-10-09