各位先進大家好,
時光飛逝,已經過了兩年了,來更新一下目前狀況,
公司準備遷到新建的廠房,所以就趁機敲了老闆一筆~
目前規劃要做內、外網分開,
有幾個問題想請教各位先進,
目前準備和廠商再討論要怎麼去做規劃,
不知各位先進有沒有什麼建議?
再請各先進不吝指教,非常感謝。
=============================================================================
2018.09.25
大家好,小弟是一個半吊子MIS,剛換到一個新環境,
目前公司可以說是無資安可言…,所以想試著重新規劃整個網路架構。
小弟我網域架設從無到有可以一手包辦,有MCITP證照(雖然是沒啥用的證照…),
但對於網路設備方面就比較不熟了,故上來請教一下各位前輩,
目前已有一些想法,想請各位前輩看有沒有需要改進的地方,謝謝。
以下先說明目前的架構:
1.目前公司約莫二十台電腦左右。
2.無網域架構。
3.有二台伺服器等級主機,其中一台是VMWare,主要是跑ERP。
4.電腦可上網,防火牆(Fortinet)採中華電信資安艦隊,兼作DHCP伺服器、VPN。
5.E-mail使用Gmail企業用信箱。
目前想法:
1.架設網域,及作DHCP伺服器。
2.網路分成兩段,分可上網及不可上網,方式用vlan或直接用兩台switch hub分成兩個網段。
但對於架設vlan沒有實際經驗,目前有兩台L2 switch,型號為HP 1620-24G。
3.防火牆一樣使用中華電信資安艦隊,到期後設備歸公司所有,不知到期後不簽約的話,
防護會不會有問題。
以上是目前小弟所想到,因為公司目前規模還不大,
所以只能依現有設備再去做改善,要花錢可能比較難,
還請有規劃整個網路架講的前輩,能給小弟一些意見,謝謝大家。
新上任
既然沒經驗
建議先備份好設定檔
公司不是 Lab
建 Lab 也要花點實習費
Lab ok 了
才能更改現有的架構
Hi Sir,
如果是我的話
1.VMWare部份應該是無法更動了 外我也沒有Server的授權可以用了,頂多把其中一台升級為AD當備援了。
2.我目前也是這麼想啦。
3.原來還可以這樣啊,目前是用FortiGate當DHCP,之後用Server當DHCP的話,也可以在防火牆上設定嗎?
4.感謝您的建議。
Hi Sir,
1.因ERP尚未上線,待準備上線時會再和長官說明目前的情況。
2.了解,謝謝您。
您可以說, 當備援的那台買了不用很浪費放久了說不定也會壞掉, 不如也裝VM起來運作, 物盡其用阿~ 只差一台Storage就可以達到很基本的永不停機了.
目前閒置那台我已經在準備升級成DC了,裝VM的話,問題是沒有軟體及授權啊~而且硬碟只有兩顆SAS 300G做Raid 1…我都不知道該怎麼辦了…感謝您的建議喔~~
300GB 做RAID1, 那廠商要如何把它當備用機?? 資料庫不大? 假設ERP主機掛掉, 備用機如何上線?? 要請廠商實做一下喔.
VMware免費版也可以啊~ 只是移轉跟備份要用手動的, 而Windows Server授權, 你的備用機本身有採購Windows授權嗎?(機身貼紙?),如果有, 就可以在VM or Hyper -V上安裝兩套Windows Server(合法授權)喔.
以下為Microsoft 授權說法:
Q.若使用 VMWare,Windows Server 該如何計劃授權?
A.客戶使用VMware依然需要為每一個虛擬機器上使用到的 Windows Server 取得授權。當您購買 Windows Server 2016 標準版並將使用授權指派給該台運行 VMware 的實體機器時,只得以在 VMware 上運行兩個 Windows Server 虛擬機器。
購買 Windows Server Datacenter 版並為該台實體伺服器上所有已安裝的核心取得授權時,即得以在 VMware 上運行無限多個免費的 Windows Server 虛擬機器。
https://rightlicensing.azurewebsites.net/Question.aspx?category=6
資安的重點在規範與如何落實規範,如果是因為資安因素想調整網路架構,要先釐清目前的架構上有什麼資安缺點進行改善比較能得到支持
至於架構調整主要就看熟不熟(或找到廠商協助)處理目前使用防火牆的設定和效能上的評估因為很多功能防火牆可以處理掉,包括:IP能否上網,rounting,vlan...等
可惜樓主沒有說明Fortigate的型號及OS版本
況且資XX隊,也不會幫樓主好好規畫使用Fortigate,可惜了
在下建議,首先,將防火牆的LAN開放成獨立的埠口
每個埠口都可以做DHCP Server(可以IP&MAC綁定)
這樣就不必另建DHCP Server
其次,路由就可以不用設了
只要設定埠與埠之間的防火政策即可
交換器可以各自接在不同埠口
第三、無論有沒有購買服務授權
樓主都可以用到防火牆的管理功能
內建設備管控(BYOD)與帳號管理(還有訪客管理)
在萬一連買AD授權的經費都沒有的狀態下
也可以發揮極大的管理作用(IP+ID+MAC)
綜上,其實樓主只要能善用手裡的Fortigate
公司幾乎想要的功能都可以做到(有經費時再做安全織網吧)
老闆不花錢就可以達到很多管理及資安
樓主順便可以練練防火牆功力
或許會是最省錢的方案吧
您好,感謝您的回覆,
防火牆型號是FortiGate 92D v5.2.11,build754,
目前我也是一直在看防火牆的相關設定,
每個埠口都可以做DHCP Server?
這功能要好好來找找!
只不過沒有AD還真不方便,
每台電腦都要設定本機登入帳號,
檔案、資料夾分享、權限也難設定,
非常感謝您的建議喔~~
樓主的OS版本非常非常舊了
在下幫忙確認了一下,設備最高可以升級到6.0.2
建議可以先使用 FortiOS 5.6.6
光是網路結構圖及Fortiview就差別很大了
其他服務功能也有不同差別
一般企業,在下明白確實習慣使用AD
在下只是說"萬一沒有建立AD經費"情況下
防火牆可以幫樓主發揮甚多管理及資安功能
即便建立AD後,也可以採用FSSO的功能(免費)
與BYOD功能結合後可避免user私帶設備聯網的資安問題
善用FG-92D吧,
應該會給樓主不少實質上的幫助
您好,目前是有一個韌體更新,版號是5.2.13,
不知道是不是就是您說的FortiOS?
升級應該會要重啟機器,
要另找時間來做,
另不知道升級後對中華電信的資安艦隊會不會有影響?
非常感謝您的建議,
真的要來好好研究一下防火牆了!
所謂韌體,就是FortiOS,
根據官方資料顯示
5.2.x已經End of Engineering Support
5.4.x即將於2018.12.21 EoES
如果樓主尚在保固期
建議盡快下載相關韌體,並升級到5.6.x
但是,5.6.x系統結構與5.2.x有大差異
在下會建議最好是格式化系統後重新設定
這些大概資XX隊都不會提供服務,樓主當自強
一個好的規畫,一定要考慮未來!所以你說切vlan,我個人很認同! 一般防火牆都至少會分三個zone, intra/extra/dmz, 一般設計DB會放在intra,AP放DMZ, 上網跟不上網你可以分別放在intra跟DMZ~在用防火牆policy隔開!至於你的sever,如果有兩張網卡以上,兩埠放intra,兩埠放dmz,然後用不同網段隔開,這樣可以實體隔離並有備援線路(2條線各接一台switch,switch互串跑STP,我猜這台HP switch不能做stack).
你最大問題是server的備援~你沒授權裝VMware~ 不然備機多啟幾個VM~什麼都有(AD/DHCP/DNS),也可以跟第一台互為備源.我個人是不建議通通透過中華那台fortinet, 因為它功能多,但資源少~你DNS/DHCP最好隔出來,這樣你以後比較好擴充及做資安控管!