|
|
|
原有结构:<br>
<br>
外网连接:带固定IP的宽带<br>
内网:有文件服务器、数据库服务器、邮件服务器、web服务器。建成一个win域<br>
内网通过ISA2000代理上网,并发布了邮件服务器<br>
<br>
现在需求:<br>
1、有不完全可靠的用户需要连接网络(外面的客人来,需要在固定的地方:会议室上网),在原有的结构里只能接入内网,而且会议室我们自已又需要使用(笔记本访问内部的文件与数据库)。<br>
2、需要发布邮件、WEB服务<br>
3、msn语音与视频<br>
<br>
<br>
我想解决问题的方法:<br>
部署背靠背的防火墙,在前端的防火墙上使用至少三块网卡:①外网②内网③DMZ④不可靠区域。<br>
A、因为只有一个IP,内网与DMZ可以是一块网卡同时减轻前端的防火墙的压力(内网用户访问DMZ);<br>
B、不可靠区域通过使用VPN方式连入内网,确保只有可靠的用户方便使用网络,不可靠用户只能上外网;<br>
C、邮件服务器发布一个中转器(邮件转发服务器)在DMZ区,真正的邮件服务器发布在内网(后端防火墙之后);<br>
D、WEB服务要使用的数据库通过后端的防火墙发布,并只充许DMZ的WEB服务器访问;<br>
E、部署IDS在DMZ内网区域,使用密罐或其它方式<br>
F、针对比如WEB、MAIL中转器设置IP过滤,只允许从两台防火墙之间的连接,DMZ的安全比较高<br>
G、解决方法中使用的均为软件防火墙(好的防火墙太贵,差一点的还不如软件的)<br>
<br>
<br>
现在有几大问题:<br>
A、对于背靠背的结构防火墙有两种选择,一种是两台使用不同的防火墙,(比如:checkpoint,或一for linux的一些产品与isa 结合);另一种两台同样用isa2004。两台同时用isa关于兼容性一般没有问题,但会有一个问题就是安全性,如果ISA出现问题则入侵到内部比较容易。如果前端使用linux的防火墙产品安全系数应该高些。<br>
B、VPN如何通过两个不同的防火墙,我在家里连入内网时的问题与可靠用户在不可靠区域的VPN接入<br>
C、邮件中转服务器(见:发布dmz区域的mail raelay server服务)使用别的邮件中转服务器的一些设置,我对邮件服务器不大懂。<br>
D、对实施证书方面(应用于邮件加密、HTTP加密)<br>
E、后端防火墙是否要加入域,加入域之后的一些设置<br>
<br>
大约的结构:<br>internet<br>|<br>|<br>|<br>ISA 2004 -------- 不可靠区域<br>|<br>|<br>|————DMZ(email web)<br>|<br>|<br>|<br>ISA 2004 <br>|<br>|<br>内网<br>
<br>
对于邮件系统,大家的建议是什么,因为现在大都使用反垃圾邮件,反向解析,对于这种结构可行吗?还有就是推荐一下好的软件防火墙(不用钱的那种^_^,俺穷人),对于VPN的实现可能有点难,不过我会收集一些资料后动手做测试,当然如果大侠们已经试过了,我就太感谢了<br>
<br>
内网的邮件服务器我想用 mDeamon,中转用什么好?<br>
<br>
大家有什么建议可以发邮件给我wdx@suho.com,我的MSN:owen_unicobiz@hotmail. |
|
狗仔卡
发表于 2004-7-27 22:06:11
收藏
分享
淘帖
支持
反对
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主