我正在制定一个计划来隔离我们工作网络的某些部分。
理想情况下,一些计算机需要与我们的主网络分离(它们从事极其敏感的工作,因此需要额外的安全措施来防止入侵和渗透测试)。虽然我擅长入侵网络建筑对他们来说则完全是另一回事。
到目前为止,我们已经将两个网络隔离开来;使用带有 DHCP 的硬件路由器来连接外部“不安全”网络(并使用几个交换机来连接所有设备)。对于内部“安全”网络,我使用 pfSense 进行路由和 DHCP。
问题在于如何连接 2 个网络。我们需要某种形式的“桥梁”将内网和外网连接起来;内网 PC 需要能够上网下载 Windows 更新等,但其他所有互联网访问都被阻止。它们还需要访问外网中的计算机;这包括一些 Windows 共享、几个 Web 和数据库服务器以及我们的本地防病毒服务器。
我知道所有这些都可以通过防火墙进行防护;我遇到的问题是如何进行桥接和防火墙防护(最好使用 Linux,是否可以配置 pfSense 来执行此操作?)。我甚至不确定“桥接”是否是可行的方法。
谁能给我提供一些解决方案或想法/教程来帮助解决这个问题?
我以正确的方式处理此事吗?
一旦我得到正确轨道上的指引,我想我就搞定了:)这只是第一个障碍。
答案1
在 pfSense 中,您应该创建三个接口。一个用于安全网络(受信任),一个用于互联网(不受信任),一个用于普通网络(不受信任),并且只向特定接口开放特定服务所需的端口。
答案2
我将研究 ipsec 如何操作:http://www.ipsec-howto.org/
答案3
好的,
如果您的高安全计算机无法访问互联网,为什么要让它们直接访问 Windows 更新服务器?使用安装在您的一个域控制器上的 WSUS(Windows 系统更新服务)服务不是更好吗?
这样,您的高安全盒子就可以完全安全地与互联网隔离。
网络上的所有其他计算机也可以使用此功能。这将使您能够更好地控制 Windows 客户端的更新管理。