Приветствую Вселенную сбоя сервера,
Итак, вот краткая предыстория. Две недели назад я начал новую должность системного администратора в растущей компании по оказанию медицинских услуг, насчитывающей чуть более 100 человек. Человек, которого я заменял, покинул компанию практически без уведомления. По сути, я унаследовал сеть из одной главной штаб-квартиры (где я нахожусь), которая существует более 10 лет, с пятью меньшими офисами (менее 20 человек).
Я пытаюсь понять текущую настройку. Сеть в штаб-квартире включает:
Маршрутизатор Linksys RV082, обеспечивающий доступ в Интернет для сотрудников, и сеть VPN, соединяющую небольшие офисы (с использованием RV042 в каждом). У нас есть как кабельные, так и DSL-линии, подключенные для балансировки трафика (однако это вообще не работает и сейчас не является моей основной проблемой).
Устройство Cisco Ironport. Это основной шлюз для нашей входящей и исходящей электронной почты. У него также есть внешний IP и внутренний IP.
Входящие и исходящие почтовые серверы Lotus Domino, подключенные к упомянутому шлюзу Cisco. У них также есть внешний IP и внутренний IP.
Разумеется, два окна Windows 2003 и 2008 работают как контроллеры домена с DNS. У них также есть как внешний IP, так и внутренний IP.
Веб-сайт и веб-почтовые серверы также на внешних и внутренних IP-адресах.
Я до сих пор не понимаю, почему так много серверов подключено напрямую к Интернету. Я серьезно подумываю переделать эту настройку с учетом надлежащих мер безопасности (моя самая большая проблема), и мне нужна правильная настройка брандмауэра для внешних / внутренних серверов вместе с решением VPN для 50 сотрудников. Бюджет не имеет значения, поскольку мне предоставили некоторую гибкость для покупки необходимых решений. Мне сказали, что может помочь устройство Cisco ASA.
Есть ли у кого-нибудь во вселенной Server Fault Universe какие-нибудь рекомендации? Спасибо всем заранее.
Да, Cisco ASA поможет. Также установите демилитаризованную зону (DMZ).
У этих вещей обычно не должно быть внешнего IP: серверы Domino, контроллеры AD, серверы веб-почты. Я думаю, что сотрудники должны получать к ним доступ только через VPN.
Если контроллеры AD обслуживают ваш DNS не только для внутренней LAN, но и для внешнего мира (т.е.если они обслуживают yourcompany.com для всего Интернета), измените настройку: внешний DNS должен быть на отдельных машинах, помещенных в DMZ.
Шаг 1. Выбросьте устройство Linksys. Вряд ли получится масштабировать так, как вам потребуется. (По моему опыту, переключение канала WAN при отказе на этом классе устройств не соответствует стандартам) Замените его подходящим маршрутизатором Cisco. Или, может быть, можжевельник, если вам так хочется. Таким образом, вы получите правильную маршрутизацию и функциональность бизнес / корпоративного типа. Соответствующий контракт на поддержку и устройство, которое не было собрано лунными обезьянами.
Шаг 2. Получите подходящий аппаратный брандмауэр. Возможно, вам удастся обойтись без Cisco 5510 или аналогичного устройства. Это хорошие брандмауэры, вы можете фильтровать столько, сколько захотите.
Шаг 3. Изучите массу информации о правильной маршрутизации и брандмауэре для недавно приобретенного оборудования.