Question

局域网通过远程桌面上网问题

我单位原有一个互联网lan ip是192.168.1.2--192.168.1.13 网关是192.168.1.1 掩码255.255.255.0 单位要上一个软件，软件要求接进互联网，单位没有多余的电脑，只能用三台装有重要文件的电脑操作这个软件，但是出于保密的要求，这三台电脑不能上网，我想用一个配置好点的电脑当服务器软件装在这台机器上，与这三台电脑组成一个小局域网，服务器电脑接入互联网的lan里 ，另外三台装有重要文件的电脑通过局域网远程桌面来登录服务器电脑操作软件，请问这样做可以吗，装有重要文件的电脑安全性如何？服务器电脑可以是双网卡。
再有如果实在不行，将服务器电脑和三台装有重要文件的操作电脑都接入互联网lan内，在互联网路由内设规则禁止这三台装文件的电脑ip和mac地址访问互联网，并且在路由器上禁止三台电脑所有端口访问互联网，这样做三台电脑是否能避免被入侵造成资料泄露？
如果这两种方法都不行，请各位大哥给小弟想个好办法

Answer 1

仔细看过你的问题，发现和我用的网络环境和要求很相似。
有一种简单可行的解决方案：用路由器组一个简单的局域网。然后手动设置每台电脑的TCP/IP协议，不想让他访问广域网的电脑不设置默认网关。这样就不能访问广域网，当然广域网也无法访问没有设置网关的电脑。（互访无法实现，当然不可能招到攻击什么的） 也不会影响局域网的应用。
这样你就可以实现“另外三台装有重要文件的电脑通过局域网远程桌面来登录服务器电脑操作软件了”但是你的服务器连着广域网并开着远程桌面有安全隐患。建议不要用windows自带的远程桌面。

Answer 2

【单位没有多余的电脑，只能用三台装有重要文件的电脑操作这个软件】
然后后面又说【用一个配置好点的电脑当服务器软件装在这台机器上，与这三台电脑组成一个小局域网】
那不还是有空闲电脑？
直接连入互联网不就行了？
难道这个软件需要三台电脑才能运行？

追问

三台机器本来是用来存放和处理单位重要文件用，直接接入互联网怕泄密，这个软件输入的信息量太大必须多台机器同时操作，才能在规定时间内完成任务

追答

都连入互联网，每台电脑用防火墙只开放指定的程序
其他全部阻挡
估计win自带防火墙太弱，需要第三方的

Answer 3

建议你咨询下熟悉机房服务器维护的人员，他们知道如何操作才是最稳妥的，可能需要用到某些特殊的设备。但是你设置不好的话会造成死循环，网络阻塞，自己给自己挖坑埋了。

追问

那三台操作机器肯定要安装单机防火墙类似于天网防火墙类的软件，对操作行为进行限制，服务器电脑只开80和3389端口，其他全部封上

追答

你3389端口开着，如果连着互联网，只要想搞你，怎么都能搞。除非你需要的时候联网，不需要的时候断开互联网。

追问

也打算用网络人 等远程协作软件进行连接，如果用远程桌面我会把3389端口改成其他端口

追答

其实不管端口改成什么，随便用个扫描就能扫到你开放了哪些端口，然后再根据你开房的端口利用某些漏洞或者工具之类的获取你的管理员权限，之后随意操作。

Answer 4

我不明白你为什么要用远程桌面来登录服务器，明明可以直接在服务器上操作软件的。而且你说的用三台电脑远程连接的方式，实际上就是把这三台电脑接入了互联网，安全性高不到哪儿去的，而且不符合内外网隔离的要求。

追问

通过互联网路由器的设置，这三台电脑虽然接入到了互联网lan里 却无法访连入互联网，这三个电脑的ip所有端口都被封闭，它们只能通过局域网的 远程桌面到服务器电脑打开ie上网，我现在是担心能不能通过服务器电脑进入这三台电脑，虽然说这四台电脑都要安装防货强软件，路由也带有简单的防货强功能。

追答

理论上还是有被访问的可能，你可以用个人的笔记本连接啊，跟领导说明情况吧。任何时候将内外网连通都是不被允许的，何况还有重要内容，何必跟自己过不去呢。