我正在制定一个计划来隔离我们工作networking的一些部分。
理想情况下,一些计算机需要与我们的主networking分离(他们做非常敏感的工作,因此需要从入侵和笔testing中获得额外的安全性)。 虽然我是杀手闯入networkingbuild设他们完全是另一回事。
到目前为止,我们有两个networking孤立, 正在使用一个硬件路由器与DHCP的外部“不安全”的networking(和几个交换机连接的一切)。 对于内部“安全”networking,我使用pfsense进行路由和DHCP。
问题在于连接2.我们需要某种forms的从内部networking到外部networking的“桥梁” 内网PC需要能够在互联网上下载Windows更新等,但所有其他的互联网访问被阻止。 他们还需要访问外部networking中的计算机; 这包括一些Windows共享,几个networking和数据库服务器和我们的本地防病毒服务器。
我所知道的所有这一切都可以被防火墙挡住; 我碰到的问题是如何做桥梁和防火墙(最好用linux,可以configurationpfsense这样做?)。 我甚至不确定一个“桥梁”是前进的方向。
任何人都可以链接我的一些解决scheme或想法/教程来帮助这个?
我甚至走过这个正确的道路吗?
一旦我在正确的轨道上得到一个指针,我认为我sorting:)这只是第一个障碍。
在pfSense中,您应该创build三个接口。 一个用于安全networking(可信),一个用于互联网(不受信任),一个用于正常networking(不受信任),并且只将特定服务所需的端口打开到特定接口。
我会看看ipsec如何在: http : //www.ipsec-howto.org/
好,
如果你的高端电脑不能访问互联网,为什么让他们直接访问Windows更新服务器呢? 如果使用与您的某个域控制器一起安装的WSUS(Windows系统更新服务)服务,会不会更好?
通过这种方式,您的高分钟盒子可以完全通过互联网进行保护。
而且networking上的所有其他计算机也可以使用它。 这将给你更多的控制你的Windows客户端的更新pipe理。