大家帮帮忙,帮我设计一个安全方案

由 chinsoft 在 12-27-2002 12:45 发表:

大家帮帮忙,帮我设计一个安全方案

是这样的,公司领导决定将某些重要的机器隔离开,使得普通员工不能访问领导的机器,而领导可以任意访问。也就是说两个网段

192.168.1.0;192.168.2.0;

1.0不能访问2.0 而2.0可以任意访问。

1.0和2.0都可以访问internet

公司目前的网络情况是这样的

由电信引入电话线,经adsl猫后接入adsl路由器连接局域网。如图

谁能帮我设计个方案呢?谢谢!!


由 charley 在 12-27-2002 13:00 发表:


你的各个机器上都是什么系统?

1.0/2.0之间只是保护一般的服务不能访问还是要进行比较彻底的保护?

是否需要进行网络物理上的保护还是要分在单独的网络连接?


由 chinsoft 在 12-27-2002 13:19 发表:


机器根据需要肯定是要增加的。

1.0要无法访问2.0(ping 不到,网络邻居看不到)。2.0则可以看到和访问1.0。

两个网络段最好从物理上分开

如果那位最好能贴张图上来,告诉我怎么做


由 solaris 在 12-27-2002 13:26 发表:


加一个三网卡的电脑,一个接adsl路由器,其余两个分别接两个网段,然后在电脑上做防火墙(访问策略),如iptables


由 chinsoft 在 12-27-2002 13:49 发表:


如第一个图所示,公司原网络段设为192.168.78. 原路由器网关地址为192.168.78.253,为了减少工作量,可否按下图设计网络结构?

谢谢


由 charley 在 12-27-2002 14:49 发表:


没有三块网卡, 两块也可以, 不过单纯依靠iptables, 对于UPD包的限制有些问题。

我画了两个图供你参考,是三块网卡和两块网卡的。 第一次用openoffice Diagrams画图, 请大家不要见笑, 感觉比Visio差多了。

==============================================

糟糕, Diagrams的文件居然不能上传, 只能tar给你了。


由 solaris 在 12-27-2002 15:06 发表:


iptables怎么可能对UPD包有问题呢,我只需要限制IP地址或是端口进出的访问,根本无需涉及到端口。

两个网卡也可以,普通机器跟和服务器都接在跟adsl路由器一个网内,服务器第二块网卡接领导机器。在服务器上做iptables策略路由,最好也做一个nat,把2.0地址翻译成1.0出去。


由 chinsoft 在 12-27-2002 15:13 发表:


charley老兄,你的那个文件用、什么打开? 我看不到


由 charley 在 12-27-2002 15:19 发表:


> quote: > > * * * > > 最初由 solaris 发布
>
> **iptables怎么可能对UPD包有问题呢,我只需要限制IP地址或是端口进出的访问,根本无需涉及到端口。
>
> 两个网卡也可以,普通机器跟和服务器都接在跟adsl路由器一个网内,服务器第二块网卡接领导机器。在服务器上做iptables策略路由,最好也做一个nat,把2.0地址翻译成1.0出去。 ** > > * * *

是我搞错了, 我想到另外一个问题去了。


由 charley 在 12-27-2002 15:21 发表:


> quote: > > * * * > > 最初由 chinsoft 发布
>
> **charley老兄,你的那个文件用、什么打开? 我看不到
>
> <img **

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus