怀疑实施企业networking

你究竟如何去做这件事，在一定程度上取决于你的networking规模，但是你所要求的与我在工作和家庭中的结构都不太相似，所以我将会描述这些。

防火墙（我使用Smoothwall）有3个网卡。 第三个提供了一个DMZ，这是面向互联网的服务器去的地方。 防火墙有一个内置的代理，因此可以满足内部networking上机器的function。 内部networking与DMZ和Internet之间的路由也由防火墙处理。

我唯一要指出的是，为了有效地使用Smoothwall作为代理，机器需要有合理数量的RAM，因为这是代理caching保存的位置。

如果您的用户必须通过代理访问网站，则只需将直接连接到局域网的任何到外部networking的物理路由删除，并使用代理服务器作为局域网唯一的互联网网关。

其他任何事情都有可能让某人绕开代理服务器。 就你的图而言，我会移动代理，使其连接在路由器R1和防火墙之间。

我意识到这将意味着一些额外的工作，configuration服务器和互联网之间的连接，所以他们不被过滤，但如果当你说连接必须过滤的用户，你真的意味着它必须没有可能的例外或解决方法，然后我估计你没有多lessselect。

我们使用ISA Server / Forefront TMG来实现这一点，因为我们主要是一家微软商店，而且它确实运行得非常好。

更新根据您最近的编辑和新图

1）我应该在哪里放置“内部服务器”（我的意思是目录服务和消息服务器）？

– 他们应该在DMZ还是应该在内部networking？

我会把它们放在内部networking上，例如内容过滤代理的后面。

它可以消除他们和客户之间复杂的层次，并且让您有机会根据需要过滤消息内容。

2）如果他们必须在内部N / W，它如何build立站点到站点连接（例如AD）？

不确定你的意思吗？ 网站连接到什么？ 无论如何，在这里我看不到有什么变化 – 在互联网（比如说）互联网之间的物理网站之间，那么你可以使用VPN，这就是你以前可能会这样做的方式吗？

3）代理服务器放置在正确的地方吗？

在我看来，是的 – 你的新build议基本上就是我们所做的（我们使用的防火墙configuration是由Forefront TMG过滤的，这个代理和防火墙都是经过过滤的），并且反映了我在这个答复的原始版本中提出的build议。

除此之外，你觉得是对的吗？ 你认为它达到了你希望达到的目标 – 有很多“正确”的方式来devise一个networking，但在我看来，“最好”的方式不是使用任何特定的技术或方法，而更多的是创build一个设置适当的预算，所需的服务水平和一个有意义的人谁必须支持它。

4）使用上面所示的IPS设备有什么用处？

是否值得拥有它们可以说是一个完全不同的问题; IPS的良好使用可以说是一个独立的专家。 把这个放在一边，你把它们放在我认为合理的地方。

几条评论：代理不一定需要2个NIC。 只要你的防火墙规则阻止你的内部主机在外部访问资源，那么他们将不得不通过代理（你可能通过组策略设置，例如在Windowsnetworking中）。 这将意味着代理人也更容易处理失败。

另外，你的“IPS”盒子 – 它们只需要象征性的，作为一个好的防火墙应该能够为你的IPS，并且将覆盖你需要的任何接口。 尽pipeIPS通常不会很好地抵御内部威胁 – 所以你可能只想在面向互联网的界面上使用IPS。