Мне нужно создать "безопасную" сеть для моего босса. На данный момент у меня есть ADSL-маршрутизатор, подключенный к коммутатору. Все пользователи подключены к этому коммутатору. Безопасность явно плохая. Я хочу поставить сервер между ADSL-маршрутизатором и коммутатором. Этот сервер, я думаю, будет мостом. Но он должен быть брандмауэром, прокси и фильтром веб-контента. Есть около 20 пользователей (которые много пользуются Интернетом для серфинга и скачивания).
Какое оборудование я должен использовать для сервера? Конечно, мне нужны две сетевые карты.
Спасибо за ваши ответы.
PS : Sorry for my poor english
У меня есть точное та же проблема как Вы, но для slighty большей сети.
Я предложил бы, чтобы Вы использовали Pfsense, который основан на BSD и настроен через чрезвычайно мощный все же простой и ясный веб-интерфейс. Это - брандмауэринг зоны 70 серверов на процессоре Celeron 3Ghz с 2 ГБ (в основном неиспользованной) RAM.
При конфигурировании его, поскольку прозрачный мост был самой эффективной установкой, поскольку это позволило практически ничего не изменять на фактической архитектуре.
Я поэтому предлагаю Вас, любой получает один хороший сервер Dell (нижний уровень будет достаточно далек) для надежности аппаратных компонентов, и установите pfsense на нем. Или можно снова использовать два более старых сервера на PFsense с дублированием (CARP), который действительно прост настроить.
Я предложил бы что-то подобное Antoine, получил бы хороший низкопроизводительный сервер Dell. 2-4GB RAM должна быть больше, чем много. Установите SHorewall как 2 интерфейсных моста на Debian (мой Сервер, как который предпочтительная ОС) - Сквид Установки Брандмауэра и SquidGuard как Ваш прокси и черный список (может заблокировать рекламу также, который пользователи!)
Shorewall направит трафик и должен быть установлен как Ваш шлюз значения по умолчанию машин. Я также рекомендовал бы установить Apache на нем и служить Вашим деталям прокси через proxy.pac и/или файлу WPAD.dat, если Вы - дом окон.
Я ожидаю, что довольно современный компьютер (Pentium 4 +) с ~1 к 2 ГБ RAM должен быть достаточным, чтобы поддержать Ваш текущий пользовательский набор и расшириться хорошо для будущего. Смешно, сколько небольших задач можно убежать "старых" аппаратных средств в эти дни, особенно при использовании Linux или основанной на BSD ОС. Просто сведите к минимуму несущественные задачи (такие как графический сервер).
Я сказал бы, идут, выбирают операционную систему, с которой Вы являетесь самыми знакомыми; они могут оба обработать то задание хорошо. BSD, вероятно, имеет меньше служебное, но если бы он сводится, "Я читал о BSD в статье, но у меня есть опыт с Debian", я рекомендовал бы пойти с ОС, с которой Вы знакомы. Можно всегда экспериментировать с BSD в непроизводственной системе.
Вероятно, было бы самым легким, если Вы настраиваете новый компьютер и как маршрутизатор и как брандмауэр, но путем хранения его как моста, Вы добавляете дополнительный слой брандмауэра между пользователями и сетью. Любой метод должен быть достаточным для обработки образования моста, и веб-контент фильтруют Вас потребность.
Как альтернатива "прокрутке Вашего собственного", рассматривают поставщики устройства. За эти годы я использовал много "Белых Полей" дистрибутивы и вполне удовлетворенный.
http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions
Существует два больших преимущества для Вас:
Они имеют целью созданные дистрибутивы, занимают намного меньше Вашего времени, которое будет заблокировано вниз и выполнение
Тяжелая работа управления может быть передана более легко
Дистрибутивы я видел ясно состояние минимальные требования для Вашего белого поля. Перейдите 1.5x в 2x те рекомендации.
Я рекомендовал бы использовать OpenBSD в качестве ОС, так как это включает превосходное приложение брандмауэра (pf). Для proxy/webfilter я использовал бы Сквид, который может быть создан из дерева портов очень легко.
Преимущества pf состоят в том, что это - легко один из большинства устойчивых пакетов брандмауэра там с формированием трафика / установление приоритетов. И OpenBSD является возможно одним из самых безопасных из OpenSource *, отклоняет.
Ваши требования к аппаратным средствам не будут очень высоки с числом пользователей и Интернет-соединения, которое Вы указали. Любая недавняя рабочая станция с соответствующим количеством интерфейсов будет более, чем соответствующей. На самом деле покупка двух дешевых систем позволила бы Вам использовать в своих интересах созданный в обработке отказа, доступной с OBSD и pf.
Можно всегда выполнять аппаратный брандмауэр. Я использовал их, в прошлом изучают FVS338 или FVX538 Netgear, они кажутся очень дешевыми и могут сделать большинство вещей, которые Вы хотите выполнить. Вы подняли бы трубку свой ISP к порту WAN и затем выполнили бы соединение с LAN Netgear на Ваш переключатель.
Надеюсь, это поможет
Если Вы не сделаете реальное contentfiltering крыло dansguardian, Вы не сможете найти аппаратные средства ПК, которые не взломают это. Мой старый SmoothWall в моей домашней сети был P3-266/256Mb RAM! Как был сказан, какой-либо сервер начального уровня сделает, HP ML110 или что-то?
Untangle, кажется, является лучшей для решения моей проблемы. На веб-сайте существуют требования к аппаратным средствам, но интересно, существует ли некоторое специальное оборудование, которое будет лучше в модификации маршрутизатора? Специальный NIC или MotherBoard?
У меня есть опыт прокручивания 20 пользователей точно такое системное использование собственной разработки OpenBSD, с самым дешевым доступным процессором Athlon64, 1 ГБ поршня (потому что 512 МБ были более дорогими...), и две сетевых платы. Мой предыдущий опыт был с Linux, но я использовал OpenBSD для этого, поскольку его послужной список безопасности является впечатляющим. Ожидайте определенную кривую обучения со своим pf.conf файлом.
ПК был горным стабильным телом без подсказок узкого места производительности.