我的职业是开发人员,但因为我是所有 IT 事务的“专家”,所以我发现自己时不时会去我妻子的办公室帮忙……然而,我在这里需要稍微提升一下我的网络知识,所以我希望这里有人能帮我一点忙。
情况(我最近才发现!)是他们在办公室托管了一个网站(可通过固定 IP 公开访问,该 IP 在其简单的 Netgear Wifi 接入点/路由器上通过端口转发(80 和 443)到他们的服务器)。该服务器保存着公司的一切 - 他们的数据库、文档等。网站和内部用户使用内部 Windows 应用程序访问数据库。数据库保存着相当私密的数据。当我发现他们这样做时,我建议他们将网站移至另一台服务器(他们有一台备用服务器),并将公共访问与主服务器分开。主服务器运行 Win2k3 SBS,而我设置的 Web 服务器运行 Win2k3 Web 版。
我当时想做的是将 Web 服务器放在不同的子网上(比如 192.168.10.x 而不是 192.168.0.x),并让路由器将 80 和 443 转发到该子网上。然后将主服务器多宿主,以便它也可以看到其他子网。但是路由器无法转发到不同的子网,所以我有点不知所措,网络知识也用光了。顺便说一下,路由器正在执行 DHCP。
有没有办法使用 RRAS 配置这类东西?还是我在做无用功?我是否应该说服他们购买更好的路由器(必须便宜!——他们是一家小公司,我可以安装)。或者如果某种防火墙软件配置正确,将 Web 服务器保留在同一个子网上是否可行?
非常感谢任何帮助和指导。
答案1
公共可用服务应始终与内部 LAN(及以上)分开。
我会说服他们购买带有 3 个接口(或两个接口 + VLAN + 交换机)的廉价防火墙。我知道 Linksys 有一些非常便宜的商用防火墙,可以完美满足他们的需求。
编辑:上面的发帖者说:IP 子网相同但 VLAN 不同?那是不可能的。
答案2
我认为您的担心是(或可能是)不必要的。毕竟,如果您设置了 SBS 服务器,您会发现它(旨在)可以通过 Internet 访问,以便 Outlook Web Access 和远程 Web 工作区正常工作。数以百万计的 SBS 安装似乎并不预示着一波被黑客入侵的服务器浪潮。
如果您只是转发端口 80 和 443,则必须采取措施避免出现任何严重的安全问题。我认为存在一种风险,即下一个 Code Red 病毒将出现并允许某人破解服务器,但在我看来,这在当今是一个很小的风险。
如果您认为网络服务会消耗资源(由于他们是一家小公司,所以这种情况不太可能发生),您可以将网络服务器放入其中并将其保留在同一个子网中。只需更改端口转发即可。但这真的值得吗?
JR
答案3
您可以将它们放在同一个子网并使用 VLAN。
答案4
Mikrotik RB450(http://routerboard.com/comparison.html) 将处理网络分段、防火墙、提供 NAT 功能等。如果您想要千兆位的 RB450G,则价格约为 100 美元或 130 美元。