我当前的设置有:
- 具有 4 个 NIC 的 pfSense 防火墙,并且可能具有第 5 个
- 1 台 48 端口 3com 交换机,1 台 24 端口 HP 交换机,愿意购买更多
- 子网 1) 边缘(Windows Server 2003,用于通过路由和远程访问建立 VPN)和
- 子网 2)LAN,其中有一个 WS2003 域控制器/dns/wins 等,一个 WS2008 文件服务器,一个运行 Vipre 防病毒软件和控制客户端计算机使用的时间限制管理器的 WS2003,以及大约 50 台
我正在寻找一种将客户和员工分开的网络设计。我可以做两个完全隔离的子网,但我想知道两者之间是否有任何东西,以便员工和客户可以共享一些资源,例如打印机和防病毒服务器,员工可以访问客户资源,但反之亦然。我想我问的是,您是否可以像这样配置子网和/或 VLAN:
- 1)VPN 边缘
- 2)所有其他内部网络均可使用的服务
- 3)可以访问服务和客户的工作人员
- 4)可以访问服务但不能访问工作人员的客户
通过访问/非访问,我的意思是比域用户名和密码更强的分离。
答案1
网络隔离是个好主意,原因有很多,其中之一就是用户和资源的分离。
没有理由不能将不同类别的用户放到不同的网络上,并使用防火墙/路由器来调解这些网络之间的访问。pfSense 完全有能力做到这一点。