我正在创办自己的公司,刚刚订购了一台装有 SBS 2011 Essentials 的服务器:一台戴尔 T310。我有一台 Netgear FVS-538 双 WAN 防火墙和一台 Netgear JGS524F 24 端口千兆交换机(非托管)。我有一台台式机和两台笔记本电脑,它们将连接到域控制器。我还有大约 10 台其他设备(电视、DVD、SONOS 全屋音响、电话等)连接到同一个网络。
我想将网络划分为两个独立的 IP 范围;1 个用于服务器,3 个用于 PC,另一个 IP 范围用于其他设备以及客户设备。我开始意识到,如果我有一台托管交换机,这将很容易,因为我可以使用 VLANS,但我想知道是否可以用我现有的设备来完成。
我主要关心的是,进一步保护我的信息免受网络其他部分的影响的最佳方法是什么。我的想法是,就安全性而言,域控制器将提供更高的保护,但我想知道是否有办法将其放在单独的 IP 范围内,以进一步将其与其他流量分开。我知道我的防火墙具有“多主”,这允许我添加静态路由以连接到互联网。除此之外,我不确定如何或是否可以分离范围。此外,如果有更好的方法来做到这一点,那将非常有趣,因为我不是专家。
答案1
我认为你把事情复杂化了,但你的防火墙支持 DMZ 配置。假设这些“不受信任”的设备只需要 Internet 访问,将 20 端口交换机上行连接到 Netgear 的 DMZ 端口,你就大功告成了(好吧,根据 DMZ 的配置方式,你可能希望将 WAN 上的任何流量丢弃到 DMZ,因为你实际上并没有在那里“提供”任何东西,而且它可能默认向外部开放)。
为您的“受信任”网络再准备一个小型交换机,然后将其接入 Netgear 的 LAN 端口。完成。简单的三脚路由器,防火墙控制 WAN、DMZ 和 LAN 的访问。
如果您想允许一些不受信任的 LAN 网络访问,您需要修改防火墙规则,因为 Netgear 很可能默认将 DMZ 降至 LAN。