环境是同一个内网，需要隔离部分电脑访问公司共享文件

jiajiaj

环境是同一个内网，暂时没有使用网关交换机网段都是192.168.1.X，新增活动室里面有10台电脑。核心目的是给员工上网娱乐使用，但是现在希望这10台电脑不能访问公司内部的共享文件与内部的系统。

防止安全与涉密。如何简单实现该需求？


可以在WIN10系统层面实现上述需求吗？

快乐崇拜

公司内部文件和系统没有设置访问权限？

Mufasa

买个路由器放在活动室里，给那些电脑提供网络。

路由器的WAN接到你现有的网络，路由器的LAN接到娱乐的电脑。
这样网上邻居就不通了。

至于内部系统，需要在路由器里面屏蔽一下IP地址。

nn1122

如果是基于445端口的SMB共享，可以通过windows防火墙限制445端口访问IP来实现，或者企业级路由，都带有访问控制功能

雨季不再来

这个共享文件夹设置权限就行。

gartour

关闭那10台娱乐机的smb服务就行了

rwindz

交换机上设置vlan？

Kevin_Yip

使用windows域不就好了嗎

SSRabbit

gartour 发表于 2025-3-23 18:21
关闭那10台娱乐机的smb服务就行了

只是在系统上设置，那有歪心思的 可以重新启用服务呀。还是搞个设备来阻断最稳。
企业路由器配置下，或者搞个华三防火墙F啥系列来着忘记了也不过一两千就买到了。，找IT技术专员去调测下设置即可。

仅仅在系统上设置 除非设置管理员系统账户和非系统账户，不然你设置了别有用心的改回去又可以访问呢了 泄露到外网咋办。 最好直接走企业路由器或者防火墙，直接把敏感文件那部
还有3层交换机 设置VLAN，把那10台划分到一个独立VLAN里 这个VLAN设置仅能访问外网 无权限访问内网。

10台娱乐机器都配的起，我不相信公司追加1到2个网络设备舍不得吧。。毕竟内部资料外泄损失更惨重。。

gartour

SSRabbit 发表于 2025-3-23 18:35
只是在系统上设置，那有歪心思的 可以重新启用服务呀。还是搞个设备来阻断最稳。
企业路由器配置下，或者 ...

从楼主问这个问题来看，似乎他们有买机器的预算，但是没有请运维的预算，太复杂的方法估计玩不上。如果真的保密要求高，那还不如另外开一个上网账户。。

SSRabbit

gartour 发表于 2025-3-23 18:45
从楼主问这个问题来看，似乎他们有买机器的预算，但是没有请运维的预算，太复杂的方法估计玩不上。如果真 ...

如果单位原本宽带够的情况下 加个好点的三层交换机就足以了（就是那种命令配置的24-48口的交换机，推荐H3C就够了 华为太贵性价比不高）  三千多的有很多选择了。

或者企业路由器或者防火墙。

如果原本宽带不够，那就拉一条线的宽带给这10台机器用，那这种除了要每年固定出宽带费，啥配置都不用了吧。。完全独立开的。。。除非有人骚操作 用单位内网的WIFI接到这10机里去连接。。

还是要做个MAC黑名单安全点。

lanjir

交换机上配acl

Montelucast

路由器分vlan或者直接guest网络

z010q3w

使用掩码就可以了，录音里把mac地址给他绑定到做大的那些ip，然后正常访问的设置前面的ip 给你的共享服务器设置对应的掩码就可以了，默认的255.255.255.0 最后的0代表同网段所有ip都能访问  把它加大

nineapple

买个便宜的防火墙，做个透明模式就好了。

或者普通的路由器也可以， 划个新的子网，然后几条规则就好了。

这种公共开放的机器，最好不要跟内网混在一起，等下一起中勒索病毒就不好玩了

Jackstraws

路由器新开一个网段 这10台指定一下IP  这样既能上网又能跟1.X 分开
企业路由器大部分都是支持多IP段的

tide~

Mufasa 发表于 2025-3-23 17:57
买个路由器放在活动室里，给那些电脑提供网络。

路由器的WAN接到你现有的网络，路由器的LAN接到娱乐的电脑 ...

确实，这个最简单，需要的基础知识也最少；也最好维护：一拔断网
这路由器可以再带个wifi无线功能，员工个人手机也能上了

jiajiaj

Mufasa 发表于 2025-3-23 17:57
买个路由器放在活动室里，给那些电脑提供网络。

路由器的WAN接到你现有的网络，路由器的LAN接到娱乐的电脑 ...

试过，二级路由器之下的电脑可以访问一级的网段。

二手烟

这个不就是一般路由器里的来宾模式里的启用网络隔离就可以解决了吗？

衰败灼烧

共享文件夹设密码呀

sunnymen

换个IP段。最简单

saga1974

功能完整的弱3层交换机（如果是只有网页一般不行），划分VLAN，交换机做为3层路由和转发，然后ACL规则

imyz

若只是为了防止文件共享，那么建议贵公司上 AD 活动目录（域），并且所有 Windows PC 尽数禁用/删除本地用户而改用 AD 域用户登录，同时在每台 PC 上给域用户最高仅分配 Power User 权限防止用户私自改权限，其次，公司搭建文件共享服务器，其访问权限仅限 AD 域用户/组访问。

不过，以上只是解决文件共享和用户权限两大问题，可仍然未从根源解决限制内部系统与网络访问这一问题，所以，得从基础网络下手，建议贵公司上二层、甚至三层交换机，将那 10 台娱乐电脑划入单独的 vLAN 段，若是二层交换机则在路由器上添加 ACL 访问列表限制该 vLAN 段，若是三层交换机则可以直接在三层上配置 ACL。这 10 台电脑因为被限制内网访问权限所以显然是访问不了 AD 的，或者用虚拟机单独配置一台 RODC 只读域控用于这 10 台电脑的用户控制也行，再或者配置为本地帐号登录，出问题重装就完事。

evernite

vLAN 就可以

荡漾的潇洒

直接不要用smb共享.搞个内部网盘就行

phliar

路由器，有以下任意功能，我这有个方法可实现。
1、路由器的每个LAN口可设置独立IP
2、路由器的单个LAN口可设置多个IP（简称单口复用、子IP）

实现方法
1、在路由器LAN口中设置两个独立或子IP，关闭DHCP，IP段为192.168.1.1/24和192.168.2.1/24
2、所有电脑使用静态地址
3、如果电脑过多，可以开启DHCP，将活动室的10台电脑MAC记录下来，在路由器上设置为DHCP静态分配。

tankren

DFS设权限不就好了吗 没有域控？

stonecold

大公司用域控管理最快捷方便，在xx组可以访问xx文件夹，不在xx组就不能访问xx文件夹

menuu

300多买个支持ACL的交换机就行了 这价格是能开票的 现在这类交换机都是有WEB UI的比折腾其他的轻松多了

hiro8888

1、系统层面的，禁用SMB，但是有风险，有心人能重启SMB，防君子不防小人。
2、还是系统层面，在共享侧设置用户和密码限制登录用户认证。同样防君子不防小人。
3、硬件层面的，会比较彻底，但就要加设备了，没有网关就不扯VLAN和ACL了。。不加设备难以实现的

但是私以为，1和2足够了，哪有那么多小人，想复杂了，真要搞的话，加设备也防不住内鬼