Я разработчик по профессии, но, поскольку я «эксперт» во всех ИТ, я время от времени помогаю в офисе моей жены ... однако я расширяю свои знания сетей здесь мало, поэтому я надеялся, что кто-то здесь может мне немного помочь.
Ситуация (как я недавно узнал!) Заключается в том, что у них есть веб-сайт, размещенный в их офисе (общедоступный через фиксированный IP-адрес, который перенаправляется (80 и 443) на их простой Netgear Wifi AcessPoint / Router на их сервер) . Этот сервер содержит ВСЕ для компании - их базы данных, документы и т. Д. К базам данных получают доступ веб-сайт и внутренние пользователи с помощью внутреннего приложения Windows. БД содержат довольно частные данные. Когда я узнал, что они делают это, я порекомендовал им переместить веб-сайт на другой сервер (у них был запасной) и сохранить общий доступ отдельно от основного сервера. Главный сервер работает под управлением Win2k3 SBS, а настроенный мной веб-сервер работает под управлением Win2k3 Web Edition.
Я думал о том, чтобы поместить веб-сервер в другую подсеть (скажем, 192.168.10.x вместо 192.168.0.x) и направить маршрутизатор на нее 80 и 443. Затем разместите главный сервер в нескольких домах, чтобы он мог видеть и другую подсеть. Однако маршрутизатор не может перенаправить в другую подсеть, поэтому я немного застрял и исчерпал сетевые ноу-хау. Кстати, роутер делает DHCP.
Есть ли способ настроить подобные вещи с помощью RRAS? Или я борюсь с безнадежным делом? Должен ли я убедить их купить маршрутизатор получше (который должен быть ДЕШЕВЫМ! - это крошечная фирма, и я мог бы предположить, что это что-то, что я мог бы настроить). Или можно было бы сохранить веб-сервер в той же подсети, если бы какой-то брандмауэр был правильно настроен?
Любая помощь и руководство приветствуются.
Я думаю, что вы (или, возможно, волнуетесь) излишне. В конце концов, если вы настроите сервер SBS, вы обнаружите, что он (должен быть) доступен из Интернета, так что Outlook Web Access и удаленное рабочее место в Интернете работают. Миллионы установленных SBS не предвещают волну взломанных серверов.
Если вы просто перенаправляете порты 80 и 443, вам придется поработать, чтобы внести какие-либо серьезные проблемы с безопасностью. Я предполагаю, что существует риск того, что следующий вирус Code Red появится и позволит кому-нибудь взломать сервер, но в наши дни это кажется мне небольшим риском.
Если вы думаете, что веб-материалы будут истощать ресурсы, что маловероятно, поскольку это небольшая компания, вы можете разместить веб-сервер и оставить его в той же подсети. Просто измените переадресацию порта. Но действительно ли оно того стоит?
JR
Доступные общедоступные службы всегда должны быть отделены от внутренней LAN (и выше).
Я бы убедил их купить дешевый межсетевой экран с 3 интерфейсами (или двумя интерфейсами + vlan + свитч). Я знаю, что у Linksys есть несколько очень дешевых межсетевых экранов для бизнеса, которые идеально подходят для их нужд.
Изменить: на плакат выше; та же IP-подсеть, но отдельные VLANS? Это невозможно.
Вы можете поместить их в одну подсеть и использовать VLAN.
Fortigate делает довольно простой брандмауэр / маршрутизатор, который поддерживает две внутренние сети и внешнюю. В некоторых моделях тоже есть WiFi. Они не самые дешевые, но надежные и полнофункциональные.
Вы сможете настроить его для поддержки DHCP и т. Д., И он защитит ваш веб-сервер в DMZ, обеспечивая доступ как внутренним, так и внешним пользователям с разными уровнями безопасности.
Тогда вам не нужно будет размещать главный сервер в нескольких домах, он просто будет внутренне подключаться, как и раньше.
Может быть, самое время начать обсуждение резервных копий.
Mikrotik RB450 (http://routerboard.com/comparison.html) будет обрабатывать сегменты сетей, межсетевой экран, обеспечение функций NAT и т. д. Вы сможете получить его за ~ 100 долларов или 130 долларов, если вам нужен гигабитный RB450G.