Я работаю над планом изолировать некоторые части нашей рабочей сети.
В идеале некоторые компьютеры должны быть отключены от нашей основной сети (они выполняют чрезвычайно чувствительную работу и поэтому должны быть максимально защищены от вторжений и тестирования на проникновение). Пока я убийца во взломе сетей здание это совсем другое дело.
Пока что обе сети изолированы; использовали аппаратный маршрутизатор с DHCP для внешней «незащищенной» сети (и пару переключателей для подключения всего). Для внутренней «безопасной» сети я использую pfsense для маршрутизации и DHCP.
Проблема в соединении 2. Нам нужна некоторая форма «моста» от внутренней к внешней сети; компьютер внутренней сети должен иметь возможность выходить в Интернет для загрузки обновлений Windows и т. д., но весь другой доступ в Интернет заблокирован. Им также нужен доступ к компьютерам во внешней сети; это включает в себя несколько общих ресурсов Windows, пару серверов web и db и наш локальный антивирусный сервер.
Все это, как я знаю, может быть защищено файерволом проблема, с которой я сталкиваюсь, заключается в том, как сделать мост и брандмауэр (желательно с Linux, можно ли настроить pfsense для этого?). Я даже не уверен, что «мост» - это путь вперед.
Может ли кто-нибудь связать меня с некоторыми решениями или идеями / руководствами, чтобы помочь в этом?
Правильно ли я поступил?
Как только я нахожу указатель на верный путь, я думаю, что я разобрался :) Это всего лишь первое препятствие.
Я бы посмотрел в ipsec, как: http://www.ipsec-howto.org/
В pfSense вы должны создать три интерфейса. Один для вашей защищенной сети (доверенный), один для Интернета (ненадежный) и один для вашей обычной сети (ненадежный), и только порты, необходимые для определенных служб, открываются для определенных интерфейсов.
В порядке,
Если ваши компьютеры с высоким уровнем безопасности не будут иметь доступа к Интернету, зачем им напрямую обращаться к серверам обновлений Windows? Разве не было бы лучше использовать службу WSUS (служба обновления системы Windows), установленную с одним из ваших контроллеров домена?
Таким образом, ваши ящики с высоким уровнем безопасности могут быть полностью защищены от Интернета.
И все остальные ваши компьютеры в сети тоже могут это использовать. Это даст вам гораздо больше контроля над управлением обновлениями для ваших клиентов Windows.