文件共享:使用IIS的目录浏览功能做只读共享,这样只需要对受控机只开放文件服务器的http端口即可,简单可靠。
防止通过远程访问拷贝文件:如果软件不需要管理员权限就可以运行,可以使用组策略【计算机配置-Windows组件-远程桌面服务-远程桌面会话主机-设备和资源重定向】中的策略进行限制。如果软件需要管理员权限,建议使用中间远程桌面的方式实现。相比ESXI访问的方式,这样的好处是可以重用现有的虚拟化平台,减少(或在未来减少)Windows许可证,并降低维护难度。
网络隔离:使用防火墙或虚拟防火墙实现网络资源限制。
防火墙可以使用现有的网关防火墙或者使用开源的虚拟防火墙(vyos/OPNsense/pfsense)
防火墙规则默认全部之间不能通信,然后建立以下规则
1.允许受保护网络和中间网络访问必需的网络服务(DNS/AD/WSUS等)。
2.允许受保护网络访问文件服务器HTTP服务端口。
如果使用网关防火墙或者网络之间可路由。
如果有中间网络则:
3.允许一般网络访问中间网络远程桌面服务(3389端口)
4.允许中间网络访问受保护网络网络远程桌面服务(3389端口)
如果没有中间网络:
3.允许一般网络访问受保护网络网络远程桌面服务(3389端口)
如果选择独立防火墙且网络之间路由不可将允许网络访问换成端口映射就可以。
|