Правильная настройка сети Infastructure DMZ, VPN, вопрос оборудования маршрутизации
Привет Server Fault Universe,
Итак, вот быстрый фон. Две недели назад я начал работать в качестве системного администратора в расширяющейся компании по оказанию медицинских услуг, насчитывающей чуть более 100 человек. Человек, которого я заменял, покинул компанию практически без уведомления. По сути, я унаследовал сеть из одного главного штаба (где я нахожусь), который существует более 10 лет, с пятью меньшими офисами (менее 20 человек).
Я пытаюсь понять текущую настройку. Сеть в штаб-квартире включает в себя:
Маршрутизатор Linksys RV082, обеспечивающий доступ к Интернету для сотрудников и VPN "сайт-сайт", соединяющий небольшие офисы (используя каждый RV042). У нас есть и кабельные линии, и линии DSL, подключенные для балансировки трафика (однако это не работает вообще и сейчас не является моей главной задачей).
Устройство Cisco Ironport. Это основной шлюз для наших входящих и исходящих электронных писем. Это также имеет внешний IP и внутренний IP.
Входящие и исходящие почтовые серверы Lotus Domino подключены к упомянутому шлюзу Cisco. Они также имеют внешний IP и внутренний IP.
Два окна 2003 и 2008 работают как контроллеры домена с DNS, конечно. Они также имеют как внешний IP, так и внутренний IP.
Веб-сайт и почтовые серверы также на внешних и внутренних IP-адресах.
Я все еще не понимаю, почему так много серверов подключено напрямую к Интернету. Я серьезно рассчитываю перепроектировать эту настройку с учетом надлежащих мер безопасности (моя главная забота) и мне нужна правильная настройка брандмауэра для внешних / внутренних серверов вместе с решением VPN около 50 сотрудников. Бюджет не является проблемой, так как мне предоставлена некоторая гибкость при покупке необходимых решений. Мне сказали, что устройство Cisco ASA может помочь.
У кого-нибудь в Server Fault Universe есть какие-то рекомендации? Спасибо всем заранее.
2 ответа
Шаг 1: выбросить устройство Linksys. Маловероятно, что вы сможете масштабировать, как вам потребуется. (По моему опыту аварийное переключение канала WAN на этом классе устройств не соответствует стандартам) Замените его соответствующим маршрутизатором Cisco. Или, может быть, можжевельник, если вы так склонны. Таким образом, вы получите правильную маршрутизацию и функциональность для бизнеса / предприятия. Надлежащий контракт на поддержку и устройство, которое не было собрано лунными обезьянами.
Шаг 2: Получите надлежащий аппаратный брандмауэр. Вы могли бы, вероятно, сойти с рук с Cisco 5510 или подобным устройством. Это хорошие расширенные брандмауэры, вы можете делать так мало или столько фильтрации, сколько захотите.
Шаг 3. Узнайте о правильной маршрутизации и брандмауэре с вашего недавно приобретенного оборудования.
Да, Cisco ASA поможет. Также настройте демилитаризованную зону (DMZ).
Эти вещи обычно не должны иметь внешний IP-адрес: серверы Domino, контроллеры AD, серверы веб-почты. Я думаю, что сотрудники должны получать к ним доступ только через VPN.
Если ваши контроллеры AD обслуживают ваш DNS не только во внутренней локальной сети, но и во внешнем мире (т. Е. Если они обслуживают yourcompany.com для всего Интернета), измените настройку: внешний DNS должен быть на отдельных машинах, размещенных в DMZ.