faq обучение настройка
Текущее время: Чт мар 28, 2024 13:24

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: Выбор аппаратного FireWall
СообщениеДобавлено: Чт мар 24, 2005 12:23 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
1. Есть внутренняя сеть(30 компов)
2. Есть Inet сервер(Linux) - в него воткнуты два кабеля(LAN & WAN)
3. Есть внешяя сеть(Internet)
4. Есть ~5000 р.

Хочу установить дополнительный FireWall между Linux сервером и Inet-сетью. Какую модель посоветуете? Насколько я понимаю мой выбор - DFL 100, я прав? А как насчёт DFL-600 чем он отличается от сотки? В общем, хотелось бы услышать рекомендации.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 24, 2005 13:47 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
http://www.dlink.ru/products/firewall_table.php

А вообще бы неплохо начать с того, какие цели вы преследуете, какие функции требуются.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 24, 2005 14:20 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
Спасибо, только эту ссылку я уже смотрел ;-)
С апаратными файоволами раньше не работал, поэтому прошу прощение, если что-то не так напишу:
Итак, цели:
1. дополнительная защита для внутренней сети, то есть обеспечение доп. фильтрации трафика на пути WAN->шлюз(Linux-Server).
2. Защита от DOS
3. По возможности минимальные перенастройки текущего сервера, на сервере подняты Apache, postfix(MTA), etc. Сервер настроена на два интерфейса(WAN и LAN), очень желательно чтобы так и осталось.

В общем как я себе представляю, между сервером и WAN будет стоят апаратный файрвол, который будет отсеивать нежелательный трафик(политика - запрещено всё, кроме разрешённых мною портов) и анализировать активность на наличие DOS-атак.

Вот, собственно цели.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 24, 2005 16:36 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
Тогда можно DFL-600, отключаете NAT, и понеслись трафик кромсать...
Только все-таки лучше его до Linux поставить, чтобы DOS резать заранее.


PS: а если честно, я думаю это лишняя точка отказа. Какой смысл ставить два межсетевых экрана друг за другом...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 24, 2005 18:05 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
Козик Павел писал(а):
Тогда можно DFL-600, отключаете NAT, и понеслись трафик кромсать...
Только все-таки лучше его до Linux поставить, чтобы DOS резать заранее.


PS: а если честно, я думаю это лишняя точка отказа. Какой смысл ставить два межсетевых экрана друг за другом...


До Линукс и планируется.
А то, что два друг за другом - так вроде как устойчивость выше. Или я не прав?
Просто была попытка DOS, Linux - загнулся, завис то бишь. Пришлось перезагружать. А на 100-ке нат нельзя вырубить?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 25, 2005 08:53 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
В dfl-100 NAT не отключаем.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 28, 2005 10:32 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
А что Вы скажете о DI-824VUP+
Я так понял, там есть порт, специально для выделенного сервера. Можно будет сделать на этом устройстве схему с внешним IP-сервера? Да и точка беспроводного доступа выглядит соблазнительно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 29, 2005 10:16 
Не в сети
Site Admin
Site Admin

Зарегистрирован: Ср дек 01, 2004 12:04
Сообщений: 692
Откуда: Moscow
Напишите задачу, что вы хотите получить. Мы не можем представить целостную картину по обрывочным сведениям.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 29, 2005 12:04 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
Sergei Asmankin писал(а):
Напишите задачу, что вы хотите получить. Мы не можем представить целостную картину по обрывочным сведениям.

Ну куда уже детальнее...

Есть сеть Интернет, есть провайдер, который предоставляет нам доступ к этой сети. От провайдера к нам приходит провод RJ 45 Cat 5e. Провайдер предоставляет нам 1(один) постоянный IP адрес в аренду. Кабель от провайдера воткнут в одну из двух сетевых карт на сервере, во вторую сетевую карту воткнут кабель RJ 45 Cat 5e от свича нашей внутренней локальной сети.

Задача: возложить на файрволл обязанности по определению атак типа DOS, а так-же некоторые функции по контролю и логгингу трафика. При этом необходимо сохранить возможность, в случае выхода из строя аппаратного файрвола, работу сервера как и прежде - то есть простым переподключением кабеля из файрвола в сервер обеспечить дальнейшую работу. Поэтому программный файрволл на сервере тоже будет работать.

Я так понял, для этих целей мне подойдёт DFL-600?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2005 07:51 
Не в сети

Зарегистрирован: Ср дек 22, 2004 09:01
Сообщений: 24
Откуда: St. Petersburg
Strange Fighter писал(а):
А что Вы скажете о DI-824VUP+
Я так понял, там есть порт, специально для выделенного сервера. Можно будет сделать на этом устройстве схему с внешним IP-сервера? Да и точка беспроводного доступа выглядит соблазнительно.

Нет там DMZ-порта, это все же не DFL. Там и нат неотключаем. Но есть портмаппер и, на худой конец, DMZ-форвард. Можно замаппить нужные (или все) внешние порты на линух-сервер. Будет провежуточная локальная сеть из двух узлов - линух-сервер и DI-824.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2005 09:25 
Не в сети

Зарегистрирован: Чт мар 24, 2005 12:21
Сообщений: 15
Откуда: S-Pb
Ладно, всё. Заказал DFL-600. Надеюсь проблем не будет. Всем спасибо. Тему можно закрыть.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB