问候服务器故障Universe,
所以这是一个快速的背景。 两个星期前,我开始担任超过100人的医疗服务公司的系统pipe理员。 我正在更换的那个人几乎没有注意到这个公司。 基本上,我inheritance了一个已经存在了10年以上的主要总部(我所在的地方)的networking,五个小型办事处(less于20人)。
我正试图理解当前的设置。 总部的networking包括:
Linksys RV082路由器为员工提供互联网接入,并通过站点到站点的VPN连接小型办公室(每个使用RV042)。 我们有电缆和双绞线连接,以平衡交通(但是这根本不工作,现在不是我主要关心的问题)。
思科Ironport设备。 这是我们传入和传出电子邮件的主要网关。 这也有一个外部IP和内部IP。
莲花骨牌进出电子邮件服务器连接到提到的思科网关。 这些也有一个外部IP和内部IP。
两个Windows 2003和2008框当然是作为域控制器运行的。 这些也有外部IP和内部IP。
网站和networking邮件服务器也在外部和内部IP上。
为什么有这么多的服务器直接连接到互联网,我仍然感到困惑。 我认真考虑重新devise这个设置,考虑到适当的安全实践(我最关心的问题),并且需要为外部/内部服务器设置适当的防火墙以及大约50名员工的VPN解决scheme。 预算不是问题,因为我已经有了一些灵活性来购买必要的解决scheme。 我被告知思科ASA设备可能会有所帮助。
有没有人在服务器故障的宇宙有一些build议? 谢谢大家。
第1步:扔掉Linksys设备。 这是不可能的,因为你会需要。 (根据我的经验,此类设备上的WAN链路故障切换不合标准)将其replace为适当的Cisco路由器。 或者,如果你非常喜欢Juniper, 这样你将得到适当的业务/企业types路由和function。 一个合适的支持合同,以及一个不是由猴子组装的设备。
第2步:获取适当的硬件防火墙。 你可能会逃避思科5510或类似的设备。 他们是很好的广泛的防火墙,你可以尽可能less或过滤你喜欢的。
步骤3:学习从新获取的硬件负载正确的路由和防火墙。
是的,思科ASA将提供帮助。 另外,设置非军事区(DMZ)。
这些东西通常不应该有外部IP:Domino服务器,AD控制器,Web邮件服务器。 我认为员工只能通过VPN访问他们。
如果您的AD控制器不仅将DNS服务于内部LAN,而且还将服务于您的DNS(即,如果他们将yourcompany.com服务于整个Internet),请更改设置:外部DNS应位于不同的机器上,放置在DMZ中。