热的 Downloads

×

注意

论坛是只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1
  • 2
  • 3

TOPIC:

我应该在哪里放置防火墙? 17年6个月前 #618

  • 恶魔
  • 恶魔的头像 主题作者
  • Offline
  • New Member
  • 新成员
  • Posts: 19
  • 谢谢你收到:0
Hey,

我们在公司获得了一个新的网络设置。安全是最大问题之一(因为它应该在每个公司中)。我们有8个工作站和三个高端服务器。

三个服务器或多或少的骨干,它们包含所有敏感的数据,如客户信息,关键文件,会计等。它们必须通过所有方式从互联网访问来保护它们。

工作站需要访问上述服务器,并且必须能够使用Internet进行WebSurfing和电子邮件。

我的老板给了我一个有限的预算(我想要一个无限制的预算(呵呵 :D. )但是,这是一个问题,以便进行必要的安排。

我已经购买并配置了一台REDHAT机器,它充当路由器/网关来处理Internet连接共享部分。此网关也是邮件服务器。和imo这应该是我的第一道防线。与互联网的连接由具有静态IP的CableModem处理。我已经拥有了3Com Superstack II和补丁面板形式的开关。

我们真的需要3个服务器的额外安全性,所以我正在考虑获得一种基于硬件的防火墙,如3Com Idecteconnect Internet防火墙作为第二行防守。如果有人可以推荐另一个品牌的另一个防火墙(400美元 - 500美元),请不要犹豫告诉我。

我在以下位置上传了PDF中的情况的图形表示:

www.xs4all.nl/~cic00149/schematics.pdf. (*)

现在是它变得棘手的部分(他终于达到了重点,你们中的一些人可能会想:眨眼:),我应该在哪里放置防火墙?是否应该在交换机和3个服务器之间或在CableModem和Linux网关之间?

Thanx提前!

(*)查看PDF文件,您将需要Adobe Acrobat Reader,可在以下位置免费下载:

www.adobe.com/products/acrobat/readstep2.html.

Re:我应该在哪里放置防火墙? 17年6个月前 #621

Demon,

有几种方法可以处理这个,但如果您已经拥有硬件防火墙并且可以购买另一个硬件,我将采用路由器/网关职责远离RedHat机器并将其用作邮件服务器。

我会在2防火墙之间创建一个DMZ并将邮件服务器放在那里。使用第一个防火墙作为路由器/网关。这将是您的第一次防护。然后使用将第二个防火墙放入第2防御,保护内部网络。

克里斯在防火墙/防火墙拓扑页面中解释了这一点。该图将帮助您了解Plustes和Minuses。

汤姆。
谢谢,

汤姆

Re:我应该在哪里放置防火墙? 17年6个月前 #622

Welcome back tfs, :)

我只是在考虑你在阅读帖子的页面中提供的图表。

既然我要提出同样的建议,我会在这里停下来!

我想注意的唯一一点是在任何防火墙上都有打开的端口。这似乎是大多数防火墙的弱点,黑客使用了渗透防火墙。

您必须确保只有所需端口打开,防火墙上没有不需要的服务。您还应实施一个入侵检测系统,这些系统将帮助您捕捉可能是试图闯入的黑客痕迹的流量。

最后,确保使用nmap(www.insecure.org.)扫描您的网络/防火墙进行漏洞。

干杯,
克里斯群体。
创始人&编辑主任
www.hengshuiwuliu.com.

Re:我应该在哪里放置防火墙? 17年6个月前 #627

  • 恶魔
  • 恶魔的头像 主题作者
  • Offline
  • New Member
  • 新成员
  • Posts: 19
  • 谢谢你收到:0
该死的,谈论快速回复!

Thanx Guys,我有点想到了在同一台机器上运行一个邮件服务器,因为网关不是一个好主意。我想要使​​用该设置的原因是减少费用。然后,MailServer不需要尖端技术和一个"older box" will do.

网关应该运行Linux,因为我必须满足我的老板所做的一些特定要求,我认为只能通过使用iptables和crontab来设置。网关也可以配置为外部连接的防火墙,可以用作第一行防御线。

现在用于第二个防火墙,您是否可以推荐任何品牌或产品?

Re:我应该在哪里放置防火墙? 17年6个月前 #632

我一直在使用Sonicwall几年,它的工作很大,似乎在你的范围内(400-500美元)。具有基于用户数(地址)的各种型号,它将通过(5,10,50等),因此请确保您检查当前和未来的要求。易于配置和更新。

我也使用了Linksys路由器和防火墙,他们的工作较少的钱很多。还有各种其他商品设备也应该工作。我可能错了,但我会认为你想要最好的防火墙是你的第一个imho。

汤姆。
谢谢,

汤姆

Re:我应该在哪里放置防火墙? 17年5月前 #743

在实施安全的同时留在预算范围内是一个艺术 - 很高兴看到你正在尝试罢工这种平衡。但是成本切割以牺牲安全性(如运行多个服务的防火墙是一个大的否则)

由于您的帖子似乎说明这应该是一个高度安全的网络,我同意汤姆和克里斯,你应该为mailserver创建一个dmz,然后为内部网络设有内部防火墙。如果您担心内部工作组的入侵。然后,在服务器之前的防火墙也是一个非常好的主意(当然是更昂贵的......三个防火墙)

我也认为实施入侵检测将是一个好主意。对于基于主机的ID,您可以只有一个文件完整性检查器,例如TripWire在服务器上运行。如果需要实现网络ID,则在网络的所有关键点都会出现起来。您可以使用类似集线器的网络挖掘,让IDS在网络周围的流量上看。通过打破其TCP IP堆栈(无IP地址)来使IDS不可见。

这一切都非常昂贵 - 我们回到了罢工平衡的艺术......但是让我只是说明了错误配置如何导致外部访问服务器

如果边缘防火墙允许入站请求在工作组中展示FTP服务器并且受到损害。然后,您的内部防火墙允许从工作组到服务器的所有流量。攻击者只能从工作组攻击!

请记住,你只有你最薄弱的联系。如果你的内部网是柔软的,那么有一个花哨的防火墙,那么如果你的内部网是柔软的,那么与跑步的人WiFi站等(这可能是难以妨碍的。不是)

呃其他要点 - 是的,哈登那些防火墙!如果您不熟悉它,这在Linux盒子上可能会有多棘手。您也可以考虑为每个防火墙使用不同的防火墙软件。这是一个很好的做法,好像攻击者在一个防火墙包中利用漏洞,他需要另一个用于其他软件(当然这是再次更昂贵的哈哈 :)

您可能会认真考虑将安全外包给专业的安全公司,他们会知道如何确保您确保安全,如果他们有任何好处,将能够与预算合作。


你以为你的帖子很长 ;)

干杯,
萨希尔。
Sahir Hidayatullah。
Firewall.cx员工 - 助理编辑& Security Advisor
tftfotw.blogspot.com.
  • 页:
  • 1
  • 2
  • 3
时间创建页面:0.113秒

ccent / ccna.

思科 Routers

  • ssl webvpn.
  • 保护路由器
  • 基于策略的路由
  • 路由器上一根棍子

VPN.安全

  • 了解DMVPN.
  • GRE / IPSec配置
  • 站点到网站IPSec VPN
  • IPSec模式

思科 Help

  • VPN.客户端Windows 8
  • VPN.客户端Windows 7
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 许可
  • Hyper-V / VDI
  • 安装Hyper-V

Linux.

  • 文件权限
  • Webmin
  • 团体 - 用户
  • Samba设置