大家好,Server Fault Universe,
简单介绍一下背景。两周前,我开始担任一家规模超过 100 人的医疗服务公司的系统管理员,这个职位正在不断扩大。我接替的那个人几乎没有通知就离开了公司。基本上,我继承了一个由一个总部(我所在的位置)组成的网络,这个网络已经存在了 10 多年,还有五个较小的办公室(不到 20 人)。
我正在尝试理解当前的设置。总部的网络包括:
Linksys RV082 路由器为员工提供互联网接入,并通过站点到站点 VPN 连接较小的办公室(每个办公室使用 RV042)。我们连接了电缆和 DSL 线路来平衡流量(但这根本不起作用,而且不是我现在主要关心的问题)。
Cisco Ironport 设备。这是我们收发电子邮件的主要网关。它还有一个外部 IP 和内部 IP。
连接到上述 Cisco 网关的 Lotus Domino 进出电子邮件服务器。这些服务器也具有外部 IP 和内部 IP。
两个 Windows 2003 和 2008 机器作为域控制器运行,当然带有 DNS。它们也具有外部 IP 和内部 IP。
网站和网络邮件服务器也位于外部和内部 IP 上。
我仍然不明白为什么有这么多服务器直接连接到互联网。我认真考虑重新设计此设置,并考虑到适当的安全实践(我最关心的问题),并且需要为外部/内部服务器设置适当的防火墙以及大约 50 名员工的 VPN 解决方案。预算不是问题,因为我可以灵活地购买必要的解决方案。有人告诉我 Cisco ASA 设备可能会有所帮助。
Server Fault Universe 中有人有什么建议吗?提前谢谢大家。
答案1
步骤 1:丢弃 Linksys 设备。它不太可能按您的要求扩展。(根据我的经验,此类设备上的 WAN 链路故障转移不达标)用合适的 Cisco 路由器替换它。或者如果您愿意,也可以使用 Juniper。这样,您将获得合适的业务/企业类型路由和功能。一份合适的支持合同,以及一台不是由月球猴子组装的设备。
步骤 2:获取合适的硬件防火墙。您可能只需要 Cisco 5510 或类似设备。它们是出色的综合防火墙,您可以根据需要进行少量或大量过滤。
步骤 3:从新购买的硬件中了解有关正确的路由和防火墙的知识。
答案2
是的,Cisco ASA 会有所帮助。另外,设置非军事区 (DMZ)。
这些东西通常不应该有外部 IP:Domino 服务器、AD 控制器、Web 邮件服务器。我认为员工应该只通过 VPN 访问它们。
如果您的 AD 控制器不仅向内部 LAN 提供 DNS 服务,还向外界提供 DNS 服务(即,如果它们向整个 Internet 提供 yourcompany.com 服务),请更改设置:外部 DNS 应位于单独的机器上,并放置在 DMZ 中。