Como devo isolar computadores com diferentes funções em uma rede

5

Eu trabalho em uma planta industrial e temos uma rede (fio físico) que usamos para uso em escritório e para sistemas de processo. Os computadores do escritório são usados apenas para as necessidades típicas do escritório, mas ocasionalmente se conectam aos computadores do processo para obter informações de um servidor sql ou para qualquer outra finalidade.

Uma nova iniciativa está em andamento e está sendo implementada pela corporação, ou seja, padronizar como os computadores são usados no trabalho e eles seriam severamente bloqueados e somente um conjunto padrão de aplicativos poderia ser executado.

um dos requisitos é também ter computadores que não sejam do escritório isolados do domínio da empresa. nossos computadores não comerciais são uma mistura de interfaces homem-máquina e servidores sql, todos executando software que não é padrão.

Minha pergunta é: como podemos divorciar os computadores dos sistemas de controle do domínio da empresa, mas ainda temos acesso aos servidores do domínio da empresa.

obrigado

    
por fishhead 29.04.2010 / 17:09

6 respostas

2

Considere usar VLANs diferentes para cada função e usar um firewall para passar tráfego entre elas. O firewall, é claro, será configurado de forma a permitir apenas o tráfego apropriado.

    
por 29.04.2010 / 18:01
1

Divida as duas redes completamente e coloque um firewall entre elas (ou apenas isole a rede de processos). Não há razão para expor sistemas de processo como esse.

Depois disso, você deve considerar como acessar os bancos de dados na parte do processo da rede. Existem muitas soluções (encaminhamento de porta, proxy SQL, etc.), mas minha recomendação pessoal é configurar um novo servidor SQL, conectá-lo tanto no processo quanto na rede do usuário e replicar todos os dados que os usuários precisam acessar nesse host. Então, certifique-se de travar o servidor SQL o máximo possível.

    
por 29.04.2010 / 18:01
1

Se você não quiser começar a fazer uma rede sofisticada, poderá fazer VLANs privadas . Switches Cisco superiores podem fazer isso.

    
por 29.04.2010 / 18:52
0

Seria mais fácil colocar algum tipo de roteador ou firewall entre os dois segmentos e configurar uma ACL para permitir que apenas o tráfego especificado por você fosse percorrido.

Isto está assumindo que os computadores de processo são simplesmente máquinas na rede e não conectadas ao domínio.

    
por 29.04.2010 / 17:53
0

Teremos a terceira declaração "vlan".

Use switches que falem de marcação vlan 802.1q, configure sub-redes diferentes para os diferentes bits de funcionalidade e implemente ACLs no salto da Camada 3 entre as duas sub-redes (o roteador).

Agora - aqui está o mais importante complemento possível -

Adicione taxa limitando o salto L3 e todas as portas no lado "corporativo" das coisas, de modo que seus PCs padrão não possam sobrecarregar esse link e arruinar a rede de "controle". Seria um dia triste se alguém decidisse fantasiar um monte de máquinas na rede corporativa e isso fizesse com que seus lasers robóticos vaporizassem metade da fábrica ...

    
por 29.04.2010 / 18:19
0

Movê-los para vários LANS não impedirá a política de grupo de propagar-se a eles (o que é mais provável como eles serão bloqueados). A melhor coisa a fazer, independentemente da vlan, é colocar esses servidores em Ous separados no AD e bloquear as políticas que não são aplicáveis a eles

    
por 30.04.2010 / 22:45

Tags