我刚刚加入一家新医院,需要一些帮助来管理我的网络。
有一些要求:当前网络:有一个 DSL 连接,该连接终止于 LINUX 代理,然后连接到 D-Link 第 2 层交换机,然后为 200 多台 PC 提供互联网(几个月内将增加到 1500 台)。D-Link 交换机尚未配置。此外,还有一个数据库服务器报告服务器和一个应用程序服务器。在不久的将来,本地用户和远程用户应该可以通过我们的 Web 服务器从互联网访问应用程序。我们有一个共享服务器,所有这些服务器数据库和 PC 都在一个子网上。
所需网络:我真正想要的是保护我的网络免受外部访问,并仅允许特定用户通过 Web 应用程序,他们将通过应用程序提交患者卡和预约设施的记录并输入记录(在我们的数据库中),但不会侵犯我们的网络资源。其次,内部用户也需要访问相同的应用程序和互联网,但他们必须具有一些独特的身份和权利(即财务实验室部门人员对该应用程序的访问权限有限)。
注意:我应该创建 V LAN 还是断开子网。防火墙能解决我的问题吗?这种情况下是否需要路由器。目前,所有访问都受到 Linux 代理的限制。
谢谢。
答案1
如果您至少在客户端系统上运行 Windows,并且您的主要需求之一是集中身份验证,那么我强烈建议创建一个 Active Directory 域。
此外,一个非常好的做法是将代理从其当前网关角色移开,并在其位置上放置一个适当的防火墙。
为了托管面向互联网的网络服务(网络、邮件等),还应该考虑 DMZ。
除了这些一般性建议之外,如果您对您的网络了解不多,就很难提出更具体的解决方案。
答案2
感谢您的解决方案。我必须进一步定义以便更好地理解。1. Eth0 连接到 DSL 互联网。2. ETH1 连接到局域网(IP 池:192.168.2.x)3. ETH2 连接到局域网(IP 池:192.168.10.x)描述:我想允许 ETH1 上的互联网和 Eth2 上的应用程序/电子邮件/共享服务。这里不允许 ETH2 用户浏览或连接到互联网。问题:Eth1 上有 20 个用户,他们显然会浏览互联网,但也可以访问应用程序服务器等服务以及在 ETH2 上运行的其他服务。我如何允许使用 IPTABLES。