|
Welcome,
来宾
|
TOPIC:
我应该在哪里放置防火墙? 17年6个月前 #618
|
Hey,
我们在公司获得了一个新的网络设置。安全是最大问题之一(因为它应该在每个公司中)。我们有8个工作站和三个高端服务器。 三个服务器或多或少的骨干,它们包含所有敏感的数据,如客户信息,关键文件,会计等。它们必须通过所有方式从互联网访问来保护它们。 工作站需要访问上述服务器,并且必须能够使用Internet进行WebSurfing和电子邮件。 我的老板给了我一个有限的预算(我想要一个无限制的预算(呵呵  )但是,这是一个问题,以便进行必要的安排。我已经购买并配置了一台REDHAT机器,它充当路由器/网关来处理Internet连接共享部分。此网关也是邮件服务器。和imo这应该是我的第一道防线。与互联网的连接由具有静态IP的CableModem处理。我已经拥有了3Com Superstack II和补丁面板形式的开关。 我们真的需要3个服务器的额外安全性,所以我正在考虑获得一种基于硬件的防火墙,如3Com Idecteconnect Internet防火墙作为第二行防守。如果有人可以推荐另一个品牌的另一个防火墙(400美元 - 500美元),请不要犹豫告诉我。 我在以下位置上传了PDF中的情况的图形表示: www.xs4all.nl/~cic00149/schematics.pdf. (*) 现在是它变得棘手的部分(他终于达到了重点,你们中的一些人可能会想:眨眼:),我应该在哪里放置防火墙?是否应该在交换机和3个服务器之间或在CableModem和Linux网关之间? Thanx提前! (*)查看PDF文件,您将需要Adobe Acrobat Reader,可在以下位置免费下载: www.adobe.com/products/acrobat/readstep2.html. |
|
Re:我应该在哪里放置防火墙? 17年6个月前 #622
|
Welcome back tfs,
 我只是在考虑你在阅读帖子的页面中提供的图表。 既然我要提出同样的建议,我会在这里停下来! 我想注意的唯一一点是在任何防火墙上都有打开的端口。这似乎是大多数防火墙的弱点,黑客使用了渗透防火墙。 您必须确保只有所需端口打开,防火墙上没有不需要的服务。您还应实施一个入侵检测系统,这些系统将帮助您捕捉可能是试图闯入的黑客痕迹的流量。 最后,确保使用nmap(www.insecure.org.)扫描您的网络/防火墙进行漏洞。 干杯, |
|
Re:我应该在哪里放置防火墙? 17年5月前 #743
|
在实施安全的同时留在预算范围内是一个艺术 - 很高兴看到你正在尝试罢工这种平衡。但是成本切割以牺牲安全性(如运行多个服务的防火墙是一个大的否则)
由于您的帖子似乎说明这应该是一个高度安全的网络,我同意汤姆和克里斯,你应该为mailserver创建一个dmz,然后为内部网络设有内部防火墙。如果您担心内部工作组的入侵。然后,在服务器之前的防火墙也是一个非常好的主意(当然是更昂贵的......三个防火墙) 我也认为实施入侵检测将是一个好主意。对于基于主机的ID,您可以只有一个文件完整性检查器,例如TripWire在服务器上运行。如果需要实现网络ID,则在网络的所有关键点都会出现起来。您可以使用类似集线器的网络挖掘,让IDS在网络周围的流量上看。通过打破其TCP IP堆栈(无IP地址)来使IDS不可见。 这一切都非常昂贵 - 我们回到了罢工平衡的艺术......但是让我只是说明了错误配置如何导致外部访问服务器 如果边缘防火墙允许入站请求在工作组中展示FTP服务器并且受到损害。然后,您的内部防火墙允许从工作组到服务器的所有流量。攻击者只能从工作组攻击! 请记住,你只有你最薄弱的联系。如果你的内部网是柔软的,那么有一个花哨的防火墙,那么如果你的内部网是柔软的,那么与跑步的人WiFi站等(这可能是难以妨碍的。不是) 呃其他要点 - 是的,哈登那些防火墙!如果您不熟悉它,这在Linux盒子上可能会有多棘手。您也可以考虑为每个防火墙使用不同的防火墙软件。这是一个很好的做法,好像攻击者在一个防火墙包中利用漏洞,他需要另一个用于其他软件(当然这是再次更昂贵的哈哈 您可能会认真考虑将安全外包给专业的安全公司,他们会知道如何确保您确保安全,如果他们有任何好处,将能够与预算合作。 你以为你的帖子很长  干杯, 萨希尔。 |
|
时间创建页面:0.113秒