iT邦幫忙

0

網路架構規劃問題

各位前輩大家好 :

因需規劃一個小機房的網路架構
網路設備有:負載平衡器,防火牆,SPAM,Switch....
我自己畫出的圖請參考
http://ithelp.ithome.com.tw/upload/images/20170720/20102612Eti0pgI0Oc.png

想請教我畫的架構有需要修正的地方嗎?
各設備的順序位置是否正確?
如果不打算切vlan,L3 Switch是否可更換為L2 Switch?

MAIL SERVER 不考慮 G SUITE ?,自備設備就是N年要更新一次,一次的硬體成本假如 20萬,軟體授權 10萬,每五年換一次,那每年的成本就是六萬
加上人員維護成本,假若工程師年薪六十萬,MAIL SERVER 維護佔據 15% 工作時間,那成本就是每年九萬元
接下來是頻寬費用,假如每年一萬二,MAIL SERVER 占用 30% 頻寬,每年費用就是三千六
再加上突發硬體故障,抓硬體成本的10%, 一年需要兩萬左右,這樣一年要17.36萬
假如改用 G-SUITE,這些費用足夠支撐 48人 使用無限版,如果你這堆自設硬體是這麼多的費用,使用不足48人,那就是虧了
上面的計算給樓主參考了
1
做工仔人!
iT邦高手 1 級 ‧ 2017-07-20 14:09:44

基本上個架構沒啥問題.
只有有VOIP 設備: 與另一端的VOIP設備如何串連?
=>如果是走公網,那就沒問題. 否則L3就省不了.(因為要下ROUTING的關係)
另外要注意的: SPAM 放在防火牆之後.就要注意防火牆本身效能.(MAIL 流量異常時,會影響到全公司的上網)

allenxu iT邦新手 4 級 ‧ 2017-07-20 15:06:51 檢舉

1.VOIP應該會依附在vpn上 這樣還會有rourte問題嗎?
(vpn由廠商機房提供連線)
2.所以您建議SPAM放置於防火牆前面嗎?

以上兩點跟您討論

  1. VOIP由廠商機房連線出去:OK , 但是 您的網路架構圖要標示清楚.不然以後會很容易搞錯了.
  2. SPAM要不要放在公網上:要取決於SPAM 本身的防毒及防禦能力.(如果SPAM放到公網上,三天兩頭就被打掛-MAIL無法收發或被當跳板,那不就更慘?)所以這部份要問SPAM的廠商會比較好.
    像我們最近在詢 MAIL SERVER的廠商.就有一家廠商他們就希望SPAM放在防火牆內,另一家就可以放在公網上.
    MAIL SERVER是公司的命脈.要了解清楚了再處理.
allenxu iT邦新手 4 級 ‧ 2017-07-21 16:52:03 檢舉

這只是初構拉 研議之後才會有完整架構圖

0
mytiny
iT邦大師 1 級 ‧ 2017-07-20 23:25:40

因為不知道樓主用的防火牆廠牌
理論上來說防火牆前後的設備都可拿掉
連外線路現在很多防火牆都可做線路負載平衡
本身更是L3-L7的設備,可以取代L3交換器
當防止類似"想哭"綁架病毒時
因所有的網段資料交換都需經過防火牆
此時就會發揮防火牆的奇效
如果有資安顧問的話
一定會告訴你,Server跟PC之間不要泡在一起
太多人不注意而出過很多事故了
切記!切記!

看更多先前的回應...收起先前的回應...
小魚 iT邦高手 1 級 ‧ 2017-07-20 23:33:14 檢舉

不好意思,可以請教一下Server跟PC之間不要泡在一起,
實務上大概是什麼樣的架構呢?
感恩~

mytiny iT邦大師 1 級 ‧ 2017-07-20 23:54:47 檢舉

簡單來說,按樓主的圖看
將原本接到L3 switch的各條線
直接接到防火牆各個不同的埠,設立不同網段
這樣各網段間交換資料必定經過防火牆
若是實在怕太複雜,怕防火牆撐不住
至少也要將Server的那一段直接接防火牆
好歹可以過濾所有連到伺服器上的網路流量

allenxu iT邦新手 4 級 ‧ 2017-07-21 16:50:27 檢舉

Server都不出外網的 所以應該可以不用接防火牆拉

mytiny iT邦大師 1 級 ‧ 2017-07-22 10:19:33 檢舉

沒錯,Server都不出外網
可是內網PC,NB,手機等設備不管公司用
或家裡帶來的都會上網
然後去連Server時完全沒有任何防護
"想哭"綁架病毒傳播就是這樣
/images/emoticon/emoticon77.gif

allenxu iT邦新手 4 級 ‧ 2017-07-24 10:21:57 檢舉

我了解了
所以上圖架構 把L3 Switch拿掉後
所有東西直接接上防火牆
這樣就可以達到防護server效果了

0
牛哥
iT邦好手 1 級 ‧ 2017-07-21 11:19:06

看來架構不錯,很符合教科書的理論!建議兩點:

  1. 找一部企業級的UTM,就能取代[負載平衡+防火牆+L3 Switch]
  2. Mail Server找已整合好SPAM的主機。也能免去另建SPAM的工程。
    /images/emoticon/emoticon15.gif
allenxu iT邦新手 4 級 ‧ 2017-07-21 16:52:58 檢舉
  1. 上級無限度cost down...
  2. mail server已經有了 只是之前的spam是走母公司的
牛哥 iT邦好手 1 級 ‧ 2017-07-24 10:09:55 檢舉

找好一點的UTM吧~
也有含SPAM功能的UTM!
太省的架構,你免不了要常常挨踢>_<...

allenxu iT邦新手 4 級 ‧ 2017-07-25 11:47:55 檢舉

忘記說了
防火牆就是選用中華電信 資安艦隊的UTM方案

我要發表回答

立即登入回答