Strona 1 z 1

Zabezpieczenie sieci wewnątrz + load balancing + DynDNS

: 16 sierpnia 2015, 12:16
autor: env002
Witam,

Proszę o pomoc w dobraniu odpowiedniego rozwiązania dla potrzeb opisanych poniżej.

Firma posiada dwa łącza do internetu - od dwóch różnych dostawców. Idealnym rozwiązaniem byłby load-balancing między dwoma łączami, a gdy jedno z łączy padnie, to aby cały ruch przychodził / wychodził przez drugie łącze. Do tego, router powinien posiadać klienta DynDNS. Internetowe adresy IP są stałe, publiczne. Dla każdego łącza internetowego, operator zapewnia 1 adres IP.

Firma posiada serwer z maszynami wirtualnymi, które pełnią różne role (np. DNS, FTP, serwer aplikacji wewnątrz firmy, serwer aplikacji zewnątrz firmy). Chodzi o zabezpieczenie przed tym, że jeżeli ktoś włamie się na maszynę wirtualną z DNS to, aby nie mógł buszować po sieci firmowej (czyli żeby nie miał dostępu do np. maszyny wirtualnej z FTP). Chodzi o zabezpieczenie przed tym, że jeżeli ktoś włamie się na maszynę wirtualną z FTP to, aby nie mógł buszować po sieci firmowej (czyli żeby nie miał dostępu do np. maszyny wirtualnej z serwerem aplikacji wewnątrz firmy). I tak dalej.

Firma chce ograniczyć ruch wychodzący w ten sposób, aby zablokować np. torrenty, żeby dostęp do stron i usług w internecie był dostępny tylko dla adresów z whitelisty a jeżeli użytkownik wychodzi poza whiteliste to musi się zalogować i jest zapisywane w logu: użytkownik | adres IP. Albo żeby były blokowane np. torrenty, a jeżeli użytkownik wychodzi gdzie indziej to nie musi się logować, ale jest zapisywane w logu: użytkownik | adres IP.

Urządzenia sieciowe (np. routery) powinny posiadać możliwość zapisywania logów na zewnętrzny nośnik (np. na udział sieciowy) oraz konfigurację klienta NTP.

Preferowałbym rozwiązania software'owe (np. Vyatta - teraz VyOS, pfSense itp.) lub urządzenie/router Mikrotik aniżeli zakup dodatkowego sprzętu, ale nie jest to wykluczone, prosiłbym o sugestie jak zbudować sieć, aby spełniała powyższe wymagania.

: 17 sierpnia 2015, 08:21
autor: LordRuthwen
Najprościej: vlany, odpowiedni policy-routing, proxy na wyjściu z lanu, wszystko.
I zdawaj sobie kolego sprawę, że bez infrastruktury zarządzanej (switche) nic z tego nie będzie.