Компьютер имеет две сетевые карты, одна из которых подсоединена к интернету через DSL модем, вторая подсоединена к служебной локальной сети организации, т.е. компьютер имеет два IP-адреса приватный и публичный в соответствии с сетевыми интерфейсами. Маршрутизация отсутствует. Политика сетевой безопасности организации запрещает физический контакт служебной сети и интернета. Является ли подобное подключение нарушением политики сетевой безопасности, возможно, ли проникновение через подобный узел из интернета в служебную сеть, возможно ли этого избежать при подобном подключении?
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Если на данном компьютере не предприняты специальные меры по защите, то практически вы выставили вашу сеть в Интернет и нарушили политику сетевой безопасности. Под специальными мерами я понимаю : 1. Хотя-бы включенный фаервол с вразумительными правилами блокировки всего из сети внешней. 2. Лучше конечно установить специализированный фаервол, прокси на данный компьютер. Например ISA Server 2006 от Microsoft. Настроить небходимые правила и постоянно обновлять ПО. Это конечно не панацея , но в таком варианте Вы уже не нарушите политику безопасности.
Здравствуйте. Похожая же проблема и у меня. Посоветуйте, как лучше поступить…
Есть сервер linux, на нем прокси-сервер, 3 сетевых платы. Одна соединена с adsl модемом, другие смотрят в сеть. Все компы сети выходят в Интернет через прокси. Firewall не работает.
Сейчас хотят статический ip адрес (хотят пользоваться определенным сетевым сервисом на 5-10 компах, который привязан к определенному ip адресу).
Статический ip – это дополнительные требования к безопасности, а у меня и так все плохо.
Настраивать firewall на сервере? А как быть с сетевым сервисом? Спасибо.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
В таком случае на фаерволе - прокси настраивают NAT (как бы выставляют компьютеры во внешнюю сеть под конкретным статическим адресом или адресами). Для внешнего сетевого сервиса это как бы компьютеры с интернет адресами. А на вашем сервере linux поднимаете firewall и настраиваете правила между внешей зоной (внешняя сетевуха) и внутринними зонами (внутринние сетевые). Теоретически как то так. Хотя более правильно на фаерволе создать из трех карт три зоны: 1. Внутренняя сеть 2. ДМЗ (демилитаризованная зона) 3. Внешняя сеть (Интернет)
В ДМЗ помещают сервисы для ваботы с клиентами интернета (почту, веб сервер)
Спасибо... Вот сегодня целый день просидел с iptables вроде удалось что-то настроить. Пока только чать сервер-локальная сеть, а сервер-интернет, взял готовый какой-то(позже настрою как нужно): Запретил все. Затем разрешил только ping, apache, squid, dns, samba, MYSQL. Позже попробую настроить NAT для компьютеров, которые будут использовать веб-сервис (порты 80 и 7777) Почту пока не нужно.
Нужно еще перепроверить, что в том конфиге для сервер-интернет