引用:
|
作者imprezagt1031
1.這可以利用ACL做到沒錯吧!!!!!
(也就是說Vlan 10跟20互不通 而Vlan 70可以存取任何Vlan下的PC
但Vlan 10-60無法直接存取Vlan 70)
或者是還有更好的方式能提供嗎??...
|
通常若是以你目前的架構來說,最省錢的就是不要花錢... 通常使用ACL就可以達到妳要的功能~~~ 不過ACL搞的越多條~~~ IOS 的 loading也就越大~~~
若真的有錢... 看看要不要搞個 Cisco 6509 (很多人應該會罵~不過我只是單純的建議)
透過Cisco 6509的Firewall Module來加強各個VLAN之間的封包交通會比較具有彈性~
New Cisco Catalyst 6500 10Gig Firewall Security System Bundle
Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series
引用:
|
作者imprezagt1031
2.但是基於有時候檔案還是要能做分享,但利用網芳的方式來做資料的存取又不是很安全
所以建置了一台內部專用File Server
請問 這台File Server要如何建置(IP需要如何規劃以及該放在哪台S/W或者是F/W下面呢)
跟內網的所有人做溝通呢?? 這樣存取檔案的方式是否真的有比利用網芳的方式安全嗎??
個人是覺得比較安全,不知道大家認為這樣的方式好嗎??...
|
恩... 這個idea是必然的~ 畢竟要要求員工將資料集中放置在機房的Server是很正確的作法~ 當然機房有機房的要求規格與伺服器不中止服務的一些需求(不斷電(機電系統)、消防系統、熱備援、異地備援、服務叢集、磁碟陣列...等等) 的這些考量等等~~~
由於之前工作的公司,用戶端來說大多採用微軟個人端作業系統 (windows 2000 Professional、Windows XP、Windows Vista...等) 所以可以建議比照我之前工作的公司一樣,建立一台Active Directory (AD)的機制~ 透過AD並且要求各用戶端join(加予)到Domain當中~ 再加上帳號的集中控管機制,這樣最起碼的權限管控也就做得到了... 剛開始建置會擁有相當程度性的陣痛期~ 但是只要加強宣導與相關程度的要求,自然而然用戶端就會將資料放置在伺服器當中~ 若有經費的話.. 就讓AD跟Files Server分開使用~ 這樣也會比較減輕彼此之間的loading... AD可以將帳號與密碼集中控管~ 可以透過GPO (群組原則) 來委派一些你所需要的一些批次檔或者相關打包好的msi檔案~ 就不用每一台辛辛苦苦的再度安裝類似修正檔或者小程式之類的~ 恩! 離題了! 總之... AD建置完成之後... 而你的Files 也 Join到Domain當中~ 也成為該Domain 的 Member Server...
你就可以善加利用AD的好處~ 來一一設定 Files Server的每個目錄當中的權限~
檔案存取的權限控管也就必然的方便彈性許多~~~ 很多東西可以慢慢的開始整合~~~ 慢慢的將資料、資訊、應用程式(網路資料庫、網路API等)都慢慢的整合到Server當中~
引用:
|
作者imprezagt1031
3.切了這麼多Vlan後,假若我S/W接到F/W線路只有一條 可是卻有這麼多不同的網段
F/W只有一個port要怎麼把這麼多網段加到他的interface上呢?是利用trunk封裝subinterface的方式嗎??
(但是這種方式好像現在很少人在用了??這是cisco router only??)
或者還有其他的方式??還有從外面internet來的封包,封包總沒有帶tag(VID)吧
那F/W是怎麼去判定要往哪個Vlan送呢??...
|
subinterface 應該只有Cisco Router支援吧~~~
(這個機制叫做 Router on a Stick,你上過CCNA...就自己去參考ICND 2 vol1 的 2-76)
內部的路由就交給 Cisco 3550 來進行L3 Switching的行為~~~ 別交給Firewall...
Firewall的主力應該屬於管制進出的封包... 而不是封包交換的部份...
方法的部份前面我已經稍稍提到了... 你可以測試看看~~~
引用:
|
作者imprezagt1031
4.再來是F/W 我想把它做為雙Wan 做loadbalance (因該是說unequal loadbalance嗎)
但是平常一般時間還是走較快的光纖線路,而當他loading較重的時候ADSL會幫
光纖先做一個附載平衡的動作,又或者是某條線路出問題時 Firewall可以立刻切換線路到正常狀況 (以上因該loadbalance 可以做到吧!!!!先姑且不論用哪種廠牌的硬體設備能達到此要求,請問可以做到以上的要求嗎??) ...
|
這部分應該是沒有問題...
我看過的一些方法... 有些人是透過Group的方式來規劃...
意思就是... A Group 規劃到 ADSL ... 而 B Group 規劃到光纖那邊...
另外一種的方法比較好玩~~~ 比較屬於權重的方式...
透過數值的高低來決定要將封包傳輸出去的線路為何
引用:
|
作者imprezagt1031
5.因為我們對外在IDC這部分有很多主機,但是這部分只能給IT部門&特定的某些人(不在Vlan 70裡面)過去IDC 但是有這個loadbalance F/W上它的rule 需不需要做某些不同的設定呢???因為我怕其他的人也能跑去IDC 這樣會不太安全(IDC的設定是permit 光纖&ADSL的IP通過)...
|
這個部份~ 我個人建議IDC那端來進行管制的行為~ 若IP能夠通過那倒是還好...
看是否能夠過更上層的協定來進行管制(不知道你IDC的Service為何)
看是授權給可以使用的人透過帳號密碼的管制來進行連線~ 這樣管制會比較彈性許多
而IDC的安全管控部分~ 個人還是只偏向開放需要的公司IP這倒是OK...
不過要管到公司內部存取IDC的部份~ 個人比較偏向IDC端的控管...
而IDC端的控管... 則看IDC的Service來進行權限管控
(最基本的帳號密碼管控~)
引用:
|
作者imprezagt1031
6.最後一個小問題,目前現況F/W就是用BSD的Pfsense來搞的
可是Pfsense沒有弄到說切Vlan&loadbalance的設定
那我想請問下圖F/W架構有沒有辦法用Linux架設就解決呢???
我大概要看哪一方面的文獻來做研讀呢?...
|
pfense這部份... 效能應該還不差才對~
不過pfense比較偏向firewall的定位,並且免費之外... 使用的方向把較偏向玩家型的用戶
真的要拿來當公司的Firewall... 也是可以...
不過VLAN與loadbalance的部份... 目前看起來 brazilfw的2.31.10 應該有支援四個WAN
這個部份你可以測試看看~~~ 不過建議機器的效能要拉高一點~ CPU、RAM、網路卡...是這個重點~~~
之前回應的文章
若要Linux來搞... 我個人是不反對~ 但是你要花不少時間投資在於Linux的基礎與iptables上頭... 若是你學會了~~~ 很多東西都可以使用Linux來頂替著~~~
人家實作多WAN的 Linux Firewall 範例
我個人學習Linux的心得~ 個人偏好 Redhat Linux Like Family (FC、CentOS、RHEL)
必讀Linux書籍
1. 鳥哥基礎篇 (只要新版就好)
2. 鳥哥伺服器建置篇 (建議新舊版都讀~新版的刪除與簡化許多早期消失的服務;但強化iptables的概念方面,還有一些新版Linux所添增與修改的地方)
3. Redhat Enterprise Linux 5 系統管理寶典 (基礎篇) 陳永昇著
4. Redhat Enterprise Linux 5 系統管理寶典 (進階篇) 陳永昇著
5. Linux 網路安全技術與實現 陳永勳著
以上這幾本我個人還蠻推薦的...不過看到你的網通設備都還算不差...再推薦幾本好了
1. Linux 網管技術 - 流量統計 與 效能監控 蔡一郎 與 邱敏乘 著
2. Linux 網管技術 蔡一郎 與 陳盈良 著
若要多看一些 iptables 的實用範例...
實戰Linux 防火牆 iptables 應用全蒐錄 Ziegler 著
不過還有一本書籍不知道你要不要參考看看...
這部分我不敢保證,因為我還沒有買這本... 可能你要親自去翻書看看再決定~~~
Designing and Implementing Linux Firewalls with QoS using netfilter, iproute2, NAT and l7-filter
這個應該是比較偏向你要將Linux iptables 搞成 QoS 模式的書籍...
該不會有人認為我在推銷書籍阿~~~ 上面說的這幾本我都擁有... (除非上面有註明我沒有的...)
~~~以上為本人的心得~~~請多包涵~~~