Тройной слой брандмауэра/IPS не имеет слишком большого смысла мне, если различные устройства не имеют непересекающиеся наборы функциональности. Если нет никакой возможности для кода или злонамеренного activty "между" двумя из устройств, и они действительно просто включаются спина к спине, он походит на гигантскую пустую трату денег.
Более традиционная архитектура была бы чем-то как:
Интернет-> Firewall/IDS-> уровень веб-сервера-> Уровень Сервера приложений-> (дополнительный брандмауэр/IPS)-> база данных
Тот дополнительный брандмауэр между уровнем сервера приложений и базой данных не действительно настолько полезен, но требуется PCI и потенциально другими инструкциями. Простые средства управления доступом или программный брандмауэр на сервере базы данных имеют больше смысла мне для большинства сред, а не выделенного отдельного брандмауэра.
Более сложная, но потенциально полезная установка должна была бы использовать веб-/прокси "уровень" хоста оплота:
Интернет-> Firewall/IDS-> веб-/прокси сервер-> Firewall/IDS-> серверы приложений-> (дополнительный брандмауэр/IPS)-> база данных.
По-моему, вышеупомянутая установка только имеет смысл, если брандмауэр/IDS между Вашим хостом оплота может сделать больше, чем простая пакетная фильтрация с сохранением информации. Если функциональность IDS, в которой Брандмауэр/IDS может выглядеть в пакетах HTTP и только позволить ряд определенных поведений между веб-/прокси уровнем и уровнем сервера приложений, то это могло бы стоить.
Обратите внимание, что любой из уровней брандмауэра/IDS может быть быть реализованным как программный брандмауэр, работающий на узле назначения. Это упрощает сети значительно и масштабируется лучше, чем аппаратные решения по обеспечению безопасности. Вы действительно бросаете централизованное "узкое горло" для контроля всего трафика, но это часто - требование для увеличения масштаба. Я сомневаюсь относительно Facebook, или Google передает весь их трафик через любой уровень брандмауэра - функциональность безопасности просто должна быть распределена в том масштабе.
Мэтт Симмонс написал серию отличных статей для простого разговора, которые могут показаться вам поучительными;
Но сначала несколько замечаний по вашему проекту:
Удачи!
Обновление
Вы попросили несколько книг для начала, я могу предложить вам несколько, которые непосредственно касаются вашей проблемы, и есть несколько отличных книг, рекомендованных в другом месте на serverfault , которые поможет вам другими способами по мере необходимости.
В частности, я бы рекомендовал начать с серии книг CISCO CCNA. Похоже на тебя я уже был брошен в самую глубину бассейна с таким большим развертыванием. Cisco Press CCNA ICND1 затронет многие фундаментальные темы, которые вам необходимо изучить. Вы также можете попробовать книгу COMPTIA Network + . Я никогда не читал его, но он предложит несколько новых перспектив, не предложенных в CCNA.
Обратите особое внимание на модель OSI, особенно на различия между уровнями 1, 2 и 3.
Помимо этого, я бы хотел начните искать "официальные документы" и "лучшие практики" для развертывания в филиалах (некоторые из них вы увидите в поиске Google, который я опубликовал ранее). Сисадмин действительно чему-то учится, только делая это, думайте об этом как о прикладной инженерии. Часто есть равные меры аналитического мышления и места действия ваших штанов.
Поскольку у вас 20 или более офисов, вы захотите иметь возможность централизованно управлять всеми своими услугами. Вы можете начать с того, что обзвоните разных поставщиков и попросите их предложить решение (не связывайтесь ни с чем по телефону! Вы почти всегда можете попросить лучшую цену, дополнительное оборудование или дополнительную поддержку, вы покупаете всего 20 устройств. , но это, вероятно, больше, чем у большинства). Кроме того, не верьте 90% тому, что говорит вам торговый представитель поставщика, вернитесь сюда и задайте еще один вопрос о конкретных развертываниях, которые вы имели в виду.
Еще раз, удачи!
или дополнительной поддержки, вы покупаете всего 20 устройств, но это, вероятно, больше, чем у большинства). Кроме того, не верьте 90% тому, что говорит вам торговый представитель поставщика, вернитесь сюда и задайте еще один вопрос о конкретных развертываниях, которые вы имели в виду.Еще раз, удачи!
или дополнительной поддержки, вы покупаете всего 20 устройств, но это, вероятно, больше, чем у большинства). Кроме того, не верьте 90% тому, что говорит вам торговый представитель поставщика, вернитесь сюда и задайте еще один вопрос о конкретных развертываниях, которые вы имели в виду.Еще раз, удачи!
Я действительно предлагаю повторить это еще раз. Коммутаторы являются устройствами уровня 2 и обычно не работают с IP-адресами, особенно с VPN.
Лучшим решением было бы иметь маршрутизаторы с поддержкой VPN в каждом офисе, а затем настроить VPN типа «сеть-сеть» в центральном офисе и правильно настроить маршрутизацию. Вы можете сделать это даже с OpenVPN и ПК с несколькими сетевыми картами, если у вас небольшие сети.
Нумерация подсетей не важна, просто не перекрывайте сети. Вам также понадобятся подсети для соединений маршрутизатор-маршрутизатор (/ 30 достаточно хорошо), если вы не используете L2 vpn и соединяете маршрутизаторы с центральной внутренней сетью.
Для двух офисов маршрутизацию можно выполнить вручную.
Также в зависимости от того, к какому типу ресурсов вам нужен доступ.
Для совместного использования файлов - для небольшой компании я бы использовал Dropbox или его коммерческий эквивалент jungledisc
Другой вариант - использование MS Sharepoint Server - дает вам возможность для легкой совместной работы с файлами на нескольких сайтах.
Я не буду дублировать полезные советы, которые уже были опубликованы в этой ветке, но я хотел бы добавить один момент для рассмотрения. При проектировании сети для работы с филиалами главное внимание следует уделять необходимому уровню разделения. Другой способ взглянуть на эту проблему - рассмотреть, какой уровень разделения допускается приложениями.
В наши дни большинство клиентских <-> серверных / одноранговых приложений довольны Разделение L3 (в разных подсетях), но все еще используются приложения, которые ожидают, что одноранговые узлы будут в одном широковещательном домене [multicast | subnet] или в некоторых случаях вообще не говорят по IP.
L3 VPN или незашифрованный туннель (например, GRE) между маршрутизаторами с административной точки зрения потребует наименьшего объема работы, и я бы посоветовал предпочесть эту конфигурацию, если она соответствует вашим бизнес-требованиям. Однако важно учитывать, какие приложения ваша сеть требует для поддержки как сейчас, так и в ближайшем будущем. Иногда потребуется L2 VPN / туннель. Важно рассмотреть этот вопрос на ранней стадии процесса проектирования, поскольку он будет иметь большое влияние на выбор оборудования и / или программного обеспечения. Как правило, туннелирование L2 не является вариантом на более старом оборудовании L3 и часто недоступно или в текущих производимых моделях низкого уровня.
Иногда потребуется L2 VPN / туннель. Важно рассмотреть этот вопрос на ранней стадии процесса проектирования, поскольку он будет иметь большое влияние на выбор оборудования и / или программного обеспечения. Как правило, туннелирование L2 не является вариантом на более старом оборудовании L3 и часто недоступно в текущих производимых моделях низкого уровня. Иногда потребуется L2 VPN / туннель. Важно рассмотреть этот вопрос на ранней стадии процесса проектирования, поскольку он будет иметь большое влияние на выбор оборудования и / или программного обеспечения. Как правило, туннелирование L2 не является вариантом на более старом оборудовании L3 и часто недоступно в текущих производимых моделях низкого уровня.