首先要確認目前現有規劃是否符合條件,何謂條件?
一、SERVER與USER端是否有區分?
二、是否建設有dmz區?
三、現有網路連線規畫為何?
這關系到是啥可以採用現有規畫來新增相關的服務,一來要考量新的服務要不要放在安全性較低的DMZ區(有時放在內網再設NAT,會造成安全性的問題),還有服務的開放對像為何?
四、公司內的區域劃分?
五、公司預算及現有SWITCH、防火牆等相關設備功能?
四、五點關系到你規劃上怎麼做…,好的規畫可以在後面查修省事。
internet->firewall(wan)-->DMZ (mail server,web server)(會對外、對內伺服器)
|-> Vlan功能的設備--> intranet (AD Server)(內部不對外伺服器)
|-> intranet (user)(桌機端)
可以更多…像無線網路、訪客用線路…等等等,一來可以在資安全完全控管,二來當某個部分發生問題可快速查修
指令的確不是重點
重點在於觀念
從一開始的子網段劃分
到網路產品的規劃
都很重要
依你的狀況看來
先看主管的想法
是否需要雙層式防火牆(安全性較高,費用也較貴因為要2台)
INTERNET→防火牆→DMZ(SERVER)→防火牆→路由器→交換器→使用者
不需要ok 單層式防火牆一般也夠用
internet→防火牆→路由器→交換器→(使用者+SERVER)
一、希望在內網架設一台檔案伺服器(NATS)
二、建立DMZ區:架設Email Server和Web Server
三、現有的網路共有三個不同網段,分別有三台Hinet上網盒,
有3組不同的固定IP,直接透過外部可以連網控制
問題:防火牆可以分配對外的固定IP嗎?還是說申請Hinet若有
5組固定IP可用,是否可以在防火牆做LAN分配呢?希望全
部整合在一個線路中。
四、目前公司就分行政區(8台電腦)和業務區(15台電腦)
業務區的電腦互相購連,行政區的電腦則是沒有連線
五、公司目前還沒有考量預算問題,這三個網段都有寬頻分享器及SW
,現在沒有防火牆設備。
六、考慮若事先架設Email Server,不考慮更改現有架構,
可以先不管其他2個Hinet線路,規劃以下方是是否可行
Internet->Firewall->DMZ(mail server)->寬頻分享器->Switch->(FileServer)->User
可以這樣子做嗎?
要看需求與預算;一般的規劃最少需要一台防火牆;除保障內外網安全性外,也可以有 routing 的功能;在預算不足下,用 linux 來設計一台 fw 也是一個不錯的規劃
internet->firewall (wan)-->DMZ (mail server,web server)
|-> intranet (user)
從您的三言兩語, 很難推敲貴公司的架構跟您的想法,
貴公司應該是不太會對IT投資的企業, 上網查了一下可能比較接近你要的網路架構,
http://cisco.chinaitlab.com/compose/738188.html
參考第一張圖吧, 分公司之間的網路建議可以用 MPLS, 這樣分公司可以走MPLS 透過總公司的ADSL 上網.