supermaxfight wrote:
現在現在某些MIS已...(恕刪)
個人覺得是看公司的安全政策...
有的公司覺得都不在意,網路會通就好....
有的公司對功能權限很注重...
有的公司則是整天在想怎麼監控員工...
青菜蘿蔔各有所好..
So..有時候真的是非戰之罪...但是也是有像Super大說的...東推西拉的..
個人積分:149分
文章編號:27464869
個人積分:11分
文章編號:27467166
個人積分:134分
文章編號:27467823
prottos2003 wrote:
各位好,因需求故小弟...(恕刪)
假設你的 UTM 是可以 Load Balance,且你的線路有配發多個 Public IP
那麼你的 UTM 要 assign 一個 DMZ Port,帶有實體的 IP (10M and 512k 都要有)
UTM 要 assign 一個 LAN Port,設定 10.10.1.253
UTM 上面可以設定
source ip 10.10.1.0 destination 0.0.0.0 可以放行
source ip 10.10.2.0 destination 0.0.0.0 可以放行
source ip 10.10.1.0 destination DMZ 可以放行某些服務
source ip 0.0.0.0 destination DMZ 可以放行某些服務
如果依照資訊安全隔離政策,我的建議是你切三個子網路,一般使用者,開發人員,還有來賓
各自子網路的 default route 指向 L3 switch (10.10.1.254 / 10.10.2.254 / 10.10.3.254)
L3 swich 上面的 default route 指向 UTM 10.10.1.253
開發人員配發 10.10.3.0/24,如果不上網就切開,封包不要往 10.10.1.253 送,減輕 UTM 負擔
10.10.2.0/24 配發來賓,10.10.1.0/24 配給一般使用者
至於前面有人說不要切割太多,很難維護,那你手上就要有所有 MAC address 列表,沒登記的不准連上 L2 switch,這樣以後就比較好管理,更嚴格的話,就同時鎖 IP (不使用 DHCP) + Mac,弄錯 IP 也不能連上
習慣了你的聲音, 你的氣味, 你的存在...連思念都變成了習慣...
個人積分:125分
文章編號:27468089
個人積分:1分
文章編號:27470227
個人積分:12923分
文章編號:27471517
要幾個網段,就幾片網卡,再用靜態路由即可
Linux 當防火牆,順便兼做 proxy 代理快取,QoS 頻寬管理
多重路由 2 WAN 也 OK 啦
上 L7-filter 擋 p2p 也行
什麼雜七雜八萬元等級網路硬體設備全免了,浪費錢
ACL 一台台設定來,天黑下班了
遠端登入一台路由伺服器全部搞定才是王道
幾百人的環境,建議架台 proxy 吧,用 squid
10M/10M 其實百人也不夠用
proxy 還可以 SARG 監視同仁上網的 log
老闆有需要的話,可以報表給他看
我家裡開 M01 的開箱文網頁,圖片很多,第一次開等很久
然後我把瀏覽器快取清除,0KB,再去開,瞬間開啟!
圖全都出來了,去看瀏覽器快取,整整 24MB,一秒下載
Transpart Porxy 果然好用 y( ̄▽ ̄)y
個人積分:41分
文章編號:27473558
個人積分:27分
文章編號:27474997
個人積分:134分
文章編號:27475680
power1912 wrote:
+1萬一掛了,就可以...(恕刪)
如果 Squid 這麼強,那大公司用 BlueCoat 就是買假的啊??
架設 Proxy 不是不行,但是網段切割不該放在上面,就放在 10.10.1.252 之類的 IP
請該公司同仁電腦上網都設定這台 Proxy,然後 L3 拿掉 Default Route,該 Proxy 的 default route 是防火牆,其他 10.10.2.0/24 Static Route 就指向 L3 Switch,開發人員網段不該上網所以不用設定
另外 UTM Policy 只要開 Source Proxy Dest 0.0.0.0 http/https/ftp,這樣 UTM 更省資源,內部電腦也不容易因為中毒把 UTM 搞掛
術業有專攻,各自強項的功能,交給不同設備分工才是王道,通通給一台搞定,不見得是好事
習慣了你的聲音, 你的氣味, 你的存在...連思念都變成了習慣...
個人積分:149分
文章編號:27476227
