|
在大多数小型环境中,由于监控设备需要联网,就会和办公上网设备连接在同一网络,监控和办公网络/上网网络不会进行隔离。这种情况下局域网的手机、电脑等终端设备可以访问到监控设备,如果被非法终端访问监控设备,可能存在监控视频泄露、监控设备配置被修改等风险。 大部分监控网络都有连接互联网进行远程监控的需求,那么,监控网络如何设计,可以实现在连接互联网的同时又不被局域网其他非法终端访问到? 下面我们来介绍几种隔离局域网终端设备访问监控设备的方法。 01方法1、使用双网口录像机 双网口录像机具有两个以太网口,能够支持多种工作模式,应用非常灵活。其中多址设定模式可以让两个网卡独立工作,连接不同网络,如内外网隔离、连接平台/专网等。 双网口录像机工作在多址设定模式,实现监控网络与办公网络/上网网络隔离、且能够实现远程监控。LAN1连接办公网络、LAN2连接监控网络,这样录像机可以联网实现远程监控,同时办公网络无法访问到摄像机和监控设备。 多址模式实现监控隔离 说明:办公网络可以通过LAN1口的IP地址访问到NVR,但由于NVR是加密的,所以安全性有所保证。 02方法2、交换机划分VLAN 采用支持VLAN划分的交换机或路由器划分VLAN,将监控网络与上网网络划分在不同VLAN,不同VLAN之间不能相互访问但都能访问互联网,实现局域网隔离但均能连接互联网。 说明:需要交换机支持802.1Q VLAN划分。 03方法3、启用无线隔离 很多店铺、家庭等小型环境的摄像机是通过无线连接到路由器,摄像机和手机是在一个局域网。如果对访客或顾客开放无线密码而又不想让用户访问到监控,最好的办法就是设置访客网络,并关闭访客网络对主人网络的访问权限。这样访客可以上网,但无法访问监控。 连接访客SSID后无法访问主人网络 如果路由器不支持访客网络,就可以设置无线隔离,简单说就是将所有无线终端相互隔离,在同一局域网下也无法相互通信,这样也可以保护监控不被访问。 无线隔离(AP隔离)禁止无线终端相互访问 说明:这种情况下主人手机可以登录TP-LINK ID访问摄像机,无论在路由器下或4G下都可以监控。 04方法4、增加路由器级联 上述方法都是软件隔离,一般情况下,摄像机都是连接到专用的交换机后接入路由器上网,可以通过级联路由器的方式限制对监控的访问。在主路由器上连接二级路由器,监控摄像机、录像机均接入二级路由器联网。这样前端路由器的手机、电脑就无法访问到二级路由器下的监控设备。 路由器是NAT单向访问设备 主人手机电脑可以直接登录绑定的TP-LINK ID预览控制,或者在二级路由器上设置端口映射,实现局域网添加管理。例如,某小型饭店的监控和上网网络拓扑图如下: 上述几种网络是在监控拓扑、网络设置上进行安全防护,除此之外,还有其他的安全防护手段。例如:
建议根据实际情况选择最合适的方法,提升监控网络的安全性。 |
|
|
