由 chinsoft 在 12-27-2002 12:45 发表:
大家帮帮忙,帮我设计一个安全方案
是这样的,公司领导决定将某些重要的机器隔离开,使得普通员工不能访问领导的机器,而领导可以任意访问。也就是说两个网段
192.168.1.0;192.168.2.0;
1.0不能访问2.0 而2.0可以任意访问。
1.0和2.0都可以访问internet
公司目前的网络情况是这样的
由电信引入电话线,经adsl猫后接入adsl路由器连接局域网。如图
谁能帮我设计个方案呢?谢谢!!
由 charley 在 12-27-2002 13:00 发表:
你的各个机器上都是什么系统?
1.0/2.0之间只是保护一般的服务不能访问还是要进行比较彻底的保护?
是否需要进行网络物理上的保护还是要分在单独的网络连接?
由 chinsoft 在 12-27-2002 13:19 发表:
机器根据需要肯定是要增加的。
1.0要无法访问2.0(ping 不到,网络邻居看不到)。2.0则可以看到和访问1.0。
两个网络段最好从物理上分开
如果那位最好能贴张图上来,告诉我怎么做
由 solaris 在 12-27-2002 13:26 发表:
加一个三网卡的电脑,一个接adsl路由器,其余两个分别接两个网段,然后在电脑上做防火墙(访问策略),如iptables
由 chinsoft 在 12-27-2002 13:49 发表:
如第一个图所示,公司原网络段设为192.168.78. 原路由器网关地址为192.168.78.253,为了减少工作量,可否按下图设计网络结构?
谢谢
由 charley 在 12-27-2002 14:49 发表:
没有三块网卡, 两块也可以, 不过单纯依靠iptables, 对于UPD包的限制有些问题。
我画了两个图供你参考,是三块网卡和两块网卡的。 第一次用openoffice Diagrams画图, 请大家不要见笑, 感觉比Visio差多了。
==============================================
糟糕, Diagrams的文件居然不能上传, 只能tar给你了。
由 solaris 在 12-27-2002 15:06 发表:
iptables怎么可能对UPD包有问题呢,我只需要限制IP地址或是端口进出的访问,根本无需涉及到端口。
两个网卡也可以,普通机器跟和服务器都接在跟adsl路由器一个网内,服务器第二块网卡接领导机器。在服务器上做iptables策略路由,最好也做一个nat,把2.0地址翻译成1.0出去。
由 chinsoft 在 12-27-2002 15:13 发表:
charley老兄,你的那个文件用、什么打开? 我看不到
由 charley 在 12-27-2002 15:19 发表:
> quote:
>
> * * *
>
> 最初由 solaris 发布
>
> **iptables怎么可能对UPD包有问题呢,我只需要限制IP地址或是端口进出的访问,根本无需涉及到端口。
>
> 两个网卡也可以,普通机器跟和服务器都接在跟adsl路由器一个网内,服务器第二块网卡接领导机器。在服务器上做iptables策略路由,最好也做一个nat,把2.0地址翻译成1.0出去。 **
>
> * * *
是我搞错了, 我想到另外一个问题去了。
由 charley 在 12-27-2002 15:21 发表:
> quote:
>
> * * *
>
> 最初由 chinsoft 发布
>
> **charley老兄,你的那个文件用、什么打开? 我看不到
>
>
<img **