vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня в оффисе имеется ЛВС. Сервер под управлением win2k. В инет ходим через модем, но скора будет выделенная линия на 100М/бит. Так вот вся соль в том, что через эту линию желают идти в инет сторонние организации, доступ для которых в нашу сеть не желателен. Может кто подскажет какими средствами можно организовать такое, чтобы сторонние организации нашу сеть не видели, ходили в инет, а я отслеживал их трафик и в конце месяца выставлял счет   P.S. Желателен вариант без использования *nix. ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 12:24 14-02-2003

Signa Звездный Ветер Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Теоретически - WinGate и иже с ним. На шлюз ставится еще одна карточка, куда втыкается сетка сторонней организации и запрещается роутин между подсетями. В конце месяца каким-либо ProxyInspector'ом составляется статистика и выставляется счет. ИМХО. И никаких *nix'ов. Практически пока не было возможности проверить... Всего записей: 357 | Зарегистр. 02-07-2002 | Отправлено: 13:05 14-02-2003

EUGENE ROYAL Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld ставь FreeBSD.... нужную безопасность виндовозом не обеспечишь... тем более кроме ваших фирм будут пробовать к вам пробраться и другие злоумышленники Всего записей: 379 | Зарегистр. 30-05-2002 | Отправлено: 13:16 14-02-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так чтобы ставить *nix надо в них хорошо разбираться. Адля этого надо время и желание.   Добавлено Цитата: [/q] [q]Теоретически - WinGate и иже с ним.   На шлюз ставится еще одна карточка, куда втыкается сетка сторонней организации и запрещается роутин между подсетями. В конце месяца каким-либо ProxyInspector'ом составляется статистика и выставляется счет. ИМХО. И никаких *nix'ов.   Практически пока не было возможности проверить...   Так как в реале ты себе представляешь по шагам? 1)Сервак 2)Две сетевые карточки 3)WinGate Я так понял твою мысль? Если можно то просвети хотя бы как теоретически (лучьше практически) все это реализовать ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 14:05 14-02-2003

LD minsk Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld   Как альтернативу могу предложить Usergate. Кроме прокси,получаешь ещё и хорошую фильтрацию+шейпер,и т.д   P.S. Не прими за рекламму,поюзай может понравиться. Всего записей: 32 | Зарегистр. 19-07-2002 | Отправлено: 15:01 14-02-2003

Ander FanTom Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору EUGENE ROYAL Цитата: нужную безопасность виндовозом не обеспечишь...   фигня... на винде тож можно делать нормальную безопасность... Я тебе эт говорю как человек, юзающий и Win, и *nix... Спорить можно до соплей, но соль в том, кто админ По сабжу: сетевка на каждую сеть, сетевка на выход в инет, прописываешь маршрутизацию... Можно использовать даже встроенный роутер Win2kServer (кстати, довольно хорошая вещь, хоть и несколько неудобен в настройке)... Траффик считай, к примеру, Billing One фирмы CyberPatrol... выдает конкретную статистику по каждому Ip и позволяет управлять выходом в по разным параметрам (наличие денег на счете (виртуальном), разрешенное кол-во часов, траффика и т.п.) Всего записей: 48 | Зарегистр. 02-10-2002 | Отправлено: 15:09 14-02-2003

Signa Звездный Ветер Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld 1. Не сервак. Но желательно выделенная машина - шлюз. 2. 2 (3, 4...) сетевые карточки на нем 3. WinGate (использую сам, поэтому советую), но альтернатив много, тот же самый Usergate к примеру 4. На вингейте запрещаем роутинг между подсетями +файрволл +VisNetic Antivirus - антивирус +GateFilter - фильтр контента +почтовый сервер +много еще чего (все + входят в состав вингейт или являются встраиваемыми модулями)   Всего записей: 357 | Зарегистр. 02-07-2002 | Отправлено: 15:47 14-02-2003 | Исправлено: Signa, 15:49 14-02-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: 4. На вингейте запрещаем роутинг между подсетями     А если использовать оборудование Cisko или я что то недопонимаю? Там у нее вроде тоже маршрутизация? И WinGate запретит хождение между подсетями, а вдруг понадобится разрешение хождения, но на определенные сетевые рессурсы или на печать? Как быть в таком случае? P.S. Спасибо всем за советы! Ато так и обратиться не к кому! ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 07:23 17-02-2003

Signa Звездный Ветер Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: организовать такое, чтобы сторонние организации нашу сеть не видели, ходили в инет,   Цитата: а вдруг понадобится разрешение хождения, но на определенные сетевые рессурсы или на печать?   Определись!   А Cisco конечно лучше, но это уже не ко мне Всего записей: 357 | Зарегистр. 02-07-2002 | Отправлено: 08:36 17-02-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тогда постараюсь более определенно! Сторонние сетки должны ходить через нас в инет + ходить к нам в сеть на определенные рессурсы (это оптимальный вариант), если это достаточно сложно, то можно попробовать отказать им в доступе к нам в сеть(это не есть гуд). P.S. Желательно конечно, чтобы подсказали второй вариант ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 08:47 17-02-2003

Signa Звездный Ветер Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: Сторонние сетки должны ходить через нас в инет + ходить к нам в сеть на определенные рессурсы (это оптимальный вариант),   Тогда придется разрешить роутинг, а внутренние ресурсы защищать паролями и не расшаривать лишнее   Всего записей: 357 | Зарегистр. 02-07-2002 | Отправлено: 14:23 17-02-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А если предположить, что одна (несколько) сторонних подсетей находятся на приличном удаление от головного оффиса и для них тоже есть необходимость входить в мою сеть, чтобы проделывать свои делишьки, как тогда выйти мне из такого положения, чтобы все остались довольны ( моя сеть обезопасена, а сторонние получают от моей сети информацию)? ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 14:53 17-02-2003

Bemep Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld я так понимаю, что тебя беспокоит безопастность трафика на пути от твоего офиса в удаленный ? Решение просто - шифруй трафик. ---------- Тут и сказочке Esc... Кто не понял F1. Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 18:50 17-02-2003 | Исправлено: Bemep, 18:51 17-02-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Возможно в зой статье что подчерпнеш   www.3dnews.ru/reviews/communication/firewall2000xp   Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 23:26 17-02-2003

Ander FanTom Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld Цитата: А если использовать оборудование Cisko или я что то недопонимаю? Так у тебя есть CISCO или нет? А то не понятно... Зачем воротить что-либо на программных роутерах, если есть аппаратные? Если CISCO есть, то могу подсказать по твоемувторому варианту... Тольконадо знать что за циски...   Блин, пробел на клаве западает Всего записей: 48 | Зарегистр. 02-10-2002 | Отправлено: 04:18 18-02-2003 | Исправлено: Ander FanTom, 05:24 18-02-2003

vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Так у тебя есть CISCO или нет? А то не понятно... Зачем воротить что-либо на программных роутерах, если есть аппаратные?   Cisco у меня нет. Но просто мне хотелось рассмотреть различные варианты. Например, зачем мне мучиться с программными маршрутизаторами, когда есть железячные, и в то же время какой плюс я получу от железячных, когда возможно проще и дешевле организовать все программным путем (а главное безопасней для сети).   Добавлено Цитата: я так понимаю, что тебя беспокоит безопастность трафика на пути от твоего офиса в удаленный ? Решение просто - шифруй трафик. И это тоже верно, но главное на сегодня садминить хождение удаленных сторонних сетей (которые действительно мне нужны) в мою сеть. Чтобы это было безопастно для меня ( в плане закрытости рессурсов), а для удаленных ( типа наверное надо будет шифроваться). ---------- Покупай удовольствие! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 08:33 18-02-2003

Bemep Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vworld Цитата: И это тоже верно, но главное на сегодня садминить хождение удаленных сторонних сетей (которые действительно мне нужны) в мою сеть. Чтобы это было безопастно для меня ( в плане закрытости рессурсов), а для удаленных ( типа наверное надо будет шифроваться). Сложно что-либо советовать не зная какие именно ресурсы нужны удаленным сетям. Как вариант можно предложить следующее. Ставишь нормальный файрволл (СР зе бест ) на машину с 4 сетевыми картами. "Чужих" пользователей в ДМЗ-1, настраиваешь ПБ/полосу пропускания/репортер и вспоминаешь о них только раз в месяц (что-бы отчет по трафику подготовить в репортере и счет за бесцельно выкачанные Гб выставить ). В ДМЗ-2 ставишь терминальный сервер и завязываешь его на необходимые удаленным пользователям ресурсы. Если на стороне "удаленных сетей" выделенка, то и им ставишь СР и строишь между файрволлами туннель, криптуешь туннель (в СР все встроенно, вплоть до 3ДЕС). Если "удаленные сети" недоступны (для установки СР) или сидят на модемах, то используешь юзер/клиент/сешн (с клиентом или без) аутентификацию с последующим шифрованием канала... Наслаждаешься жизнью ---------- Тут и сказочке Esc... Кто не понял F1. Всего записей: 254 | Зарегистр. 20-11-2002 | Отправлено: 11:22 18-02-2003

Lifter Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vworld   Железячные решения всегда дороже. Первоначально . Будь то cisco или что иное. Если интерес действительно серьезный и контора готова потратить $х0 000, то можно смотреть на решения cisco как один из вариантов. Есть и другие варианты. Например, комплекс "Дионис" - может обеспечить доступ различными способами (модем, сеть, X.25, etc.), имеет НАТ, маршрутизацию всякую, файрвол опять же. Цена сопоставима с кисками. Всего записей: 179 | Зарегистр. 22-04-2002 | Отправлено: 14:47 18-02-2003

Slay Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А какие ресурсы внутри сети тебе надо открыть? В принципе эти ресурсы конечно лучше выделить в DMZ, и для них настроить свои правила. Но безопасность уже будешь обеспечивать на уровне этих ресурсов.   Софтово ты уложешься баксов в 500 (включая сам компьютер - шлюз), на цисках примерно     Cisco 2621 Dual 10/100 Ethernet Router       ~   3000$ 4-Port Ethernet Network Module                   ~    4000$   Или можно (даже наверное лучше) PIX Firewall. Но конкретно по модели сказать не могу. Всего записей: 187 | Зарегистр. 21-02-2002 | Отправлено: 10:13 19-02-2003

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » помогите с созданием ЛВС

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование