VLANデバイスの分離-実現可能性
マルウェアがネットワークを介して伝播するリスクを軽減するために、すべてのデバイスを独自のデバイスに配置するのはどの程度合理的ですかVLAN(完全な分離)?
注意:
- デバイスは、互いに通信する必要はまったくありません。
二次質問:
パフォーマンスの低下はありますか? (インターネットへの接続)
分離のためのより良いソリューションはありますか?
関連:
すべての単一コンピュータのVLANは頭痛の種になるでしょう:-)
VLANではなくPVLANが必要だと思います。これはレイヤー2を分離し、インターフェースは互いに通信できなくなります(もちろん、アップリンクポートとトランクポートを除く)。次のリンクを確認してください。より具体的な参照が必要な場合は、お知らせください。
- https://www.juniper.net/documentation/en_US/junos/topics/topic-map/private-vlans.html
- https://www.Cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SXF/native/configuration/guide/swcg/pvlans.pdf
ジュニパーのウェブサイトから
プライベートVLAN(PVLAN)は、VLAN内の通信を制限することにより、この概念をさらに一歩進めています。 PVLANは、メンバースイッチポート(プライベートポートと呼ばれます)を通過するトラフィックフローを制限することでこれを実現し、これらのポートは指定されたアップリンクトランクポートまたは同じVLAN内の指定されたポートとのみ通信します。
デバイスに使用可能なリソースがある場合、これがパフォーマンスに大きな影響を与えることはないと思います。
最後の言葉として、はい分離は重要なトピックですが、エンドポイントのセキュリティには多くのToDoがあるため、ウイルス対策ポリシー、パッチ管理、アカウント権限の強化、ドアマンのユーザーレビューなどを検討してください。エンドポイント保護ソリューション(たとえば)、最終的にこのクライアントはどこかにアクセスできるようになります。このクライアントコンピュータを分離して、相互に通信しますが、最終的にはプリンタサーバーまたはWebサーバーと通信します... :-)