我必须为老板建立一个“安全”网络。目前,我有一个连接到交换机的 ADSL 路由器。所有用户都连接到此交换机。安全性显然很差。我想在 ADSL 路由器和交换机之间放置一台服务器。我认为该服务器将成为桥梁。但它必须是防火墙、代理和 Web 内容过滤器。大约有 20 个用户(他们大量使用互联网进行浏览而不是下载)。
我的服务器应该使用什么样的硬件?当然需要两块网卡。
- 多少 RAM 才够用?
- 就性能而言,桥接解决方案是否好?(可能是NAT,或者静态路由...)
- 我应该使用 Debian 还是 NetBSD?我读到 NetBSD 适合这种工作
- 该服务器应该是局域网的路由器还是我保留 ADSL 路由器?
谢谢您的回答。
PS:抱歉我的英文不好
答案1
我遇到了和你完全相同的问题,只是网络稍微大一些。
我建议你使用普福斯它基于 BSD,通过功能极其强大但又简单明了的 Web 界面进行配置。它为 70 台服务器的区域设置了防火墙,这些服务器位于 Celeron 3Ghz 处理器上,配有 2GB 内存(大部分未使用)。
将其配置为透明桥是最有效的设置,因为它几乎不需要修改实际架构。
因此,我建议你要么买一台不错的戴尔服务器(低端就足够了)以确保硬件组件的可靠性,然后在其上安装 pfsense。或者,你可以在 PFsense 上重复使用两台具有冗余(CARP)的旧服务器,这确实很容易配置。
答案2
我建议使用与 Antoine 类似的产品,购买一台不错的低端戴尔服务器。2-4GB RAM 应该足够了。在 Debian(我选择的服务器操作系统)上安装 SHorewall 作为 2 接口桥接器 - 防火墙安装 Squid 和 SquidGuard 作为代理和黑名单(也可以阻止广告,用户喜欢!)
Shorewall 将路由流量,应将其设置为您机器的默认网关。我还建议在其上安装 Apache,并通过 proxy.pac 和/或 WPAD.dat 文件(如果您是 Windows 用户)提供您的代理详细信息。
答案3
我认为一台具有大约 1 到 2 GB RAM 的现代计算机(奔腾 4+)应该足以维持您当前的用户设置并很好地扩展未来。如今,您可以在“旧”硬件上运行多少小任务,这真是太不可思议了,尤其是在使用基于 Linux 或 BSD 的操作系统时。只需将非必要任务保持在最低限度(例如图形服务器)。
我建议你选择你最熟悉的操作系统;它们都能很好地处理这项工作。BSD 的开销可能较小,但如果“我在一篇文章中读到过 BSD,但我有使用 Debian 的经验”,我建议你选择你熟悉的操作系统。你总是可以在非生产系统上试验 BSD。
如果您将新计算机设置为路由器和防火墙,那么这可能是最简单的方法,但通过将其保留为网桥,您将在用户和网络之间添加额外的防火墙层。无论哪种方法都应该足以处理您需要的桥接和网络内容过滤器。
答案4
我建议使用 OpenBSD 作为操作系统,因为它包含一个出色的防火墙应用程序 (pf)。对于代理/webfilter,我会使用 Squid,它可以非常轻松地从端口树构建。
pf 的优势在于它无疑是目前最强大的防火墙软件包之一,具有流量整形/优先级功能。OpenBSD 可以说是最安全的 OpenSource *nix 之一。
考虑到您指定的用户数量和 Internet 连接,您的硬件要求不会很高。任何具有适当数量接口的较新的工作站都绰绰有余。事实上,购买两个便宜的系统可以让您利用 OBSD 和 pf 提供的内置故障转移功能。