Configuração correta da infra-estrutura de rede DMZ, VPN, Routing Hardware Question

Navegue suas respostas
1

Greetings Server Fault Universe,

Então aqui está um breve histórico. Duas semanas atrás eu comecei uma nova posição como administrador de sistemas para uma empresa de serviços de saúde em expansão de pouco mais de 100 pessoas. O indivíduo que eu estava substituindo deixou a empresa com pouco ou nenhum aviso prévio. Basicamente, eu herdei uma rede de um QG principal (onde estou situado), que existe há mais de 10 anos, com cinco escritórios menores (menos de 20 pessoas).

Estou tentando entender a configuração atual. A rede no QG inclui:

  • Roteador Linksys RV082 que fornece acesso à Internet para funcionários e VPN de site para site conectando os escritórios menores (usando um RV042 cada). Temos linhas de cabo e dsl conectadas para equilibrar o tráfego (no entanto, isso não funciona de forma alguma e não é minha principal preocupação no momento).

  • Aparelho Cisco Ironport. Este é o principal gateway para nossos e-mails recebidos e enviados. Isso também tem um IP externo e IP interno.

  • Domino Lotus dentro e fora dos servidores de e-mail conectados ao gateway Cisco mencionado. Estes também possuem um IP externo e IP interno.

  • Duas caixas do Windows 2003 e 2008 sendo executadas como controladores de domínio com DNS, é claro. Estes também têm um IP externo e IP interno.

  • Servidores de e-mail e web também em IPs externos e internos.

Eu ainda estou confuso porque existem tantos servidores conectados diretamente à internet. Eu estou seriamente olhando para redesenhar esta configuração com práticas de segurança adequadas em mente (minha maior preocupação) e estou precisando de uma configuração de firewall adequada para os servidores externos / internos, juntamente com uma solução VPN de cerca de 50 funcionários. Orçamento não é uma preocupação, pois me foi dada alguma flexibilidade para adquirir as soluções necessárias. Foi-me dito que o dispositivo Cisco ASA pode ajudar.

Alguém no universo de falhas do servidor tem algumas recomendações? Obrigado a todos antecipadamente.

    
por RSXAdmin 13.03.2010 / 15:50

2 respostas

1

Passo 1: Jogue fora o dispositivo Linksys. É improvável que seja possível dimensionar conforme necessário. (Na minha experiência, o failover do link WAN nessa classe de dispositivo é inferior) Substitua-o por um roteador Cisco adequado. Ou talvez um Juniper, se você é tão inclinado. Dessa forma, você obterá roteamento e funcionalidade adequados para os negócios / empresas. Um contrato de suporte adequado e um dispositivo que não foi montado por macacos da lua.

Etapa 2: obtenha um firewall de hardware adequado. Você provavelmente poderia se safar com um dispositivo Cisco 5510 ou similar. Eles são bons firewalls extensos, você pode fazer o mínimo ou o máximo de filtragem que quiser.

Etapa 3: aprenda as cargas sobre o roteamento e o firewall adequados de seu hardware recém-adquirido.

    
por 14.03.2010 / 01:01
2

Sim, o Cisco ASA ajudará. Além disso, configure a zona desmilitarizada (DMZ).

Essas coisas normalmente não devem ter um IP externo: servidores Domino, controladores AD, servidores de webmail. Eu acho que os funcionários devem acessá-los através de VPN somente.

Se seus controladores de AD servirem seu DNS não apenas para a LAN interna, mas também para o mundo externo (ou seja, se eles acessarem suaempresa.com para toda a Internet), altere a configuração: DNS externo deve estar em máquinas separadas na DMZ.

    
por 13.03.2010 / 23:47

Tags

O que significa dizer que a maioria dos pacotes descartados tem uma porta de entrada e saída diferente? svnadmin: SQLite é necessário para ser compilado e executado em modo thread-safe