目前,我的家庭網路由 5 台電腦(3 台筆記型電腦和 2 台桌上型電腦)組成,其中一台運行 Windows Server 2008,並用作我們的一些文件的主儲存庫。我們透過 Thomson TG784 路由器存取互聯網,該路由器接收兩個無線連接和三個有線連接,其中一個透過交換器。也就是說,我們沒有在任何地方使用防火牆,因此 100% 依賴路由器的防火牆功能。到目前為止,我們從未遇到任何問題,但現在我想設定一個 VPN(可能使用 RRAS 或 OpenVPN),以便我可以從外部存取這裡的電腦。問題是我真的不確定是否應該這樣做,因為這意味著將至少一個連接埠轉發到一台電腦(這將是 Windows Server 2008 的一台),據我了解,將所有網路都向外部開放。所以,我的問題確實是三個:
1) 我們目前的設定在安全性方面是否足夠,或者我們應該在每台電腦上使用防火牆(即使沒有任何 VPN 或連接埠轉送)?
2) 在這樣的網路上設定 VPN 是否安全,或者我會冒不必要的網路存取風險?
2)如果我真的決定設定VPN,我應該如何設定它以及網路中的機器以確保安全?
答案1
回答您的問題:
- 目前的設定已經足夠了。您的路由器可以充當一個不錯的防火牆,儘管功能不全(顯然專業防火牆更好,並且將提供更多選項和深度資料包檢查)。如果您確實希望增加安全性,您當然可以啟用軟體防火牆,但是為您的防火牆打開連接埠 3389,僅轉發到您的伺服器,它們將無法存取其他計算機,除非它們以某種方式猜出您的VPN 用戶名和密碼。
- 任何開放連接埠或來自外部的存取都是一種風險:哎呀,連接到網路是一種風險。也就是說,你必須權衡風險和利益,只有你才能真正做到這一點。我想說風險很低,而且我多年來一直為企業做這件事。
- 除非您想新增證書伺服器並頒發筆記型電腦證書,以便只有它們可以存取 VPN,否則無需進行太多配置。請注意,這將為您提供更多保護,但設定起來要複雜得多,並且將是一個單獨的問題,可能是關於伺服器故障。設定 VPN 並且它們連接到網路後,就像您將電腦虛擬插入交換器一樣。您可以存取伺服器上的驅動器,或者如果您遠端使用筆記型電腦,並且桌面系統運行專業版 Windows,則可以使用筆記型電腦透過 RDP 連接到桌面。在這種情況下,您將在 LAN 上完成所有工作,因此大檔案的延遲非常小,只有使用 RDP 進行螢幕繪圖和滑鼠/鍵盤點擊。
最後一件事,您的筆記型電腦可能會遇到效能問題,因為您有到伺服器的磁碟機映射,但伺服器不在那裡(未在本地或透過 VPN 連接)。您可能希望根據需要使用腳本來對應和取消映射磁碟機。
答案2
使用Hamachi。您可以輕鬆建立 VPN 隧道,無需在路由器上開啟連接埠。我使用它是因為我帶著筆記型電腦旅行,但需要訪問我的伺服器上的文件,或者我可能需要更新我的私有雲上的設定/虛擬機。