iT邦幫忙

0

簡單不失安全的網路架構

目前網路設備
一台D-Link DI-LB604 路由器
四台 DES-1046D 乙太網路交換器
一台 Server 內含 pop3 + DNS + web
一條非對稱 ADSL 8M
一條對稱光纖 3M
Clien PC 50 台
請問各位先進,在沒有防火牆設備下,如何架構安全的網路?

28
jiahuey
iT邦新手 1 級 ‧ 2009-09-14 12:21:01
最佳解答

ADSL 8M -> DI-LB604 WAN1
Fiber 3M -> DI-LB604 WAN2
Server (DNS, MAIL, Web) -> (Switch ->) DI-LB604 LAN
Switch(s) -> DI-LB604 LAN (視需求、不需要全部使用)
Client PC -> Switch(s) (依部門、功能、安全等級或分佈區域區分)

Server 對外主要走 Fiber 3M 頻寬;
Client PC 對外主要走 ADSL 8M 頻寬。

目前接法與您的說法一置!
不過卻出現 server 不穩定,一時收得到信一時又收不到信!(架在dmz,主機ip為虛擬ip)
之前直接把專線拉給 server 用時是正常的!(實体ip)
所以在想懷疑 dns 解析出問題或 DI-LB604 出問題!

kirinsam iT邦新手 5 級 ‧ 2009-09-14 17:25:02 檢舉

換台IP分享器試試就知道

jiahuey iT邦新手 1 級 ‧ 2009-09-15 13:42:10 檢舉

在下是懷疑 DI-LB604 是不是真的可以在這樣的狀況底下正常工作。
(當然要排除環境因素(溫度、電壓 ...)造成的工作不穩定)

您可以試著去看一下 DI-LB604 的工作報表,看看不穩定的狀況是否有反應出來問題的癥結。但是您又提到,將專線直接拉給 server 工作是正常的,那麼問題就只能出在 DI-LB604 上。

試著重新檢視一下 DMZ 的設定、QoS 的規則是否適當。
(如果 DI-LB604 溫度偏高,吹個電風扇吧!^_^)

28
James
iT邦大師 7 級 ‧ 2009-09-14 09:25:57

1.簡單一點至少可以買個內建防火牆的ip分享器吧!,總不能50台pc都用真實ip上網。
2.複雜一點,pc都不要連網際網路,全部透過proxy server上網,pop +web server就用系統內建的防火牆。

fillano iT邦超人 1 級 ‧ 2009-09-14 11:51:20 檢舉

他的D-Link DI-LB604 路由器有內建防火牆喔。

12
jamesfisher
iT邦研究生 5 級 ‧ 2009-09-15 12:43:33

Clien PC 50 台
D-Link DI-LB604 路由器
firewall有設規則與條例的話
可能會不夠力,處理能力不足
封包有可能如你說lose掉

有錢可買其它家的設備(廠商是可借測的)
省錢可自行架個 linux作nat,處理效能很好

我要發表回答

立即登入回答