Сомнение в Реализации Корпоративной сети
Найденный ответом посредством сравнения серверов, которые работают к, которые не сделали.
Учетная запись Вы хотите войти в систему, как должен быть перечислен под Logon as Batch установка. Logon as Batch установка может быть найдена в Локальных параметрах безопасности под Локальными политиками-> Пользовательское Присвоение Прав.
Точно то, как Вы идете об этом, действительно зависит до некоторой степени от размера Вашей сети, но что Вы просите, не слишком отличается от того, как мне структурировали вещи и на работе и на домой, таким образом, я опишу их.
Брандмауэр (я использую Smoothwall), имеет 3 NICs. Третье обеспечивает демилитаризованную зону, которая является, куда интернет-серверы направления идут. Брандмауэр имеет встроенный прокси, поэтому удовлетворяет ту функциональность для машин на внутренней сети. При маршрутизации между внутренней сетью и и демилитаризованная зона и Интернет также обрабатываются брандмауэром.
Единственная вещь, на которую я указал бы, состоит в том, что для использования Smoothwall эффективно в качестве прокси машина должна иметь разумную сумму RAM, как это - то, где кэш прокси-сервера сохранен.
Если Ваши пользователи ДОЛЖНЫ пройти прокси для доступа к сети, затем просто удаляют любой физический маршрут к внешней сети от прямого подключения до LAN и используют прокси-сервер в качестве единственного интернет-шлюза LAN.
Что-либо еще оставляет потенциал для кого-то для обхождения прокси-сервера. С точки зрения Вашей схемы затем, я переместил бы прокси так его связанное между маршрутизатором R1 и брандмауэром.
Я понимаю, что это означало бы некоторую дополнительную работу, настраивающую соединение между серверами и Интернетом, таким образом, они не фильтрованы, но если, когда Вы говорите, что соединение должно быть фильтровано для пользователей, Вы действительно подразумеваете, что это действительно должно без возможных исключений или обходных решений затем, я считаю, что у Вас есть мало выбора.
Мы делаем это использование ISA Server/Forefront TMG, поскольку мы - главным образом магазин Microsoft, и это на самом деле работает действительно хорошо.
Обновите На основе своего недавнего редактирования и новой схемы
1) Куда я должен поместить "внутренние серверы" (этим, я имею в виду Службы каталогов и Обменивающиеся сообщениями серверы)?
- Они должны быть в демилитаризованной зоне, или они должны быть во внутренней сети?
Я разместил бы их во внутреннюю сеть, например, позади прокси фильтрации контента.
Это удаляет слои сложности между ними и их клиентами, и дает Вам, возможность к контенту обмена сообщениями фильтра контента должна Вы желать.
2) Если они должны быть во внутреннем N/W, как он может установить соединения от сайта к сайту (AD, например)?
Не уверенный, что Вы имеете в виду здесь? Соединения сайта, к какой? В любом случае я не вижу, что изменение здесь - для движения между физическими сайтами через (говорит), что Интернет затем, можно ли использовать VPN, которая является, как Вы, по-видимому, сделали бы это прежде?
3) Прокси-сервер помещается в корректное место?
По-моему, да - Ваше новое предложение по существу, что мы делаем (мы используем последовательную конфигурацию брандмауэра с LAN, фильтрованной Центром деятельности TMG, который делает проксирование, а также брандмауэринг), и отражает то, что я предложил в своей исходной версии этого ответа.
Кроме того, это чувствует себя хорошо Вам? Сделайте Вы думаете, что это достигает того, чего Вы надеетесь достигнуть - существует много "корректных" способов разработать сеть, но по-моему "лучший" путь меньше об использовании какой-то конкретной технологии или методологии и больше о создании установки, это подходит для бюджета, уровень обслуживания потребовал и тот, который имеет смысл людям, которые должны поддерживать его.
4) Это имеет какое-либо применение, показывающее устройства IPS выше?
Является ли, который стоит иметь их вообще, возможно совершенно другим вопросом; вытаскивание хорошего использования из IPS является возможно предметом специалиста все самостоятельно. Откладывая это на данный момент, Вы вставили их, что я думаю, разумные места.
Несколько комментариев: прокси не нужны 2 NICs обязательно. Пока Ваши правила брандмауэра предотвращают Ваши внутренние узлы, получающие доступ к ресурсам внешне, затем они должны будут пойти через прокси (который Вы могли бы настроить через Групповую политику, например, в сети окон). Это будет означать, что прокси легче иметь дело с в отказе, также.
Кроме того, Ваши поля "IPS" - они должны только быть символьными, поскольку хороший брандмауэр должен смочь к IPS для Вас и покроет, какой бы ни соединяет интерфейсом с Вами потребность. IPS не является обычно настолько большим против внутренних угроз, хотя - таким образом, Вы могли бы только хотеть к IPS в интернет-интерфейсе направления.