Requester Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Здравствуйте. Сразу опишу суть проблемы. Есть локальная сеть организации, приблизительно из 20-25 компьютеров. Все они подключены к одному серверу, через который объединены и имеют доступ в интернет. Задача заключается в том, чтобы обособить около 5 компьютеров в отдельную мини-сеть так, чтобы она могла пользоваться расшаренными файлами, папками и программами остальной части сети и выходом в интернет через основной сервер. При этом никакие данные(расшаренные папки, программы и т.п.) внутри этой мини-сети не должны быть доступны извне(ни из сети интернет, ни из остальной части локальной сети). Ко всему прочему необходимо максимально надежно защитить все эти 5 компьютеров от вирусов, троянов, хакерских атак и т.п., как со стороны пользователей сети 2(бывает-то всякое), так и со стороны внешних пользователей. Отсюда возникает основной вопрос, что будет эффективнее - сделать такое разделение и защиту на программном уровне с основного сервера, либо же поставить аппаратный фаервол для этих 5 компьютеров и организовать для них отдельную сеть за этим фаерволом? Возможно, есть какие-то более эффективные способы? P.S. Цена решения большой роли не играет. Хотелось бы услышать все "за" и "против" по каждому из возможных вариантов. Заранее спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 VLAN Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Requester Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Andrey_al: Правильно ли я понимаю, что если отделить эти компьютеры в отдельную VLAN, то в отношении безопасности для них не меняется ничего, кроме того, что расшаренные документы на этих компьютерах не будут видны из остальной части сети? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Andrey_al: Правильно ли я понимаю, что если отделить эти компьютеры в отдельную VLAN, то в отношении безопасности для них не меняется ничего, кроме того, что расшаренные документы на этих компьютерах не будут видны из остальной части сети? Andrey_al совершенно правильно дал рекомендацию, если простым языком, то эти сети находящиееся в одном адресном пространстве разделены и из одного VLAN`a не увидишь, да и доступ не получишь к компьютерам другого VLAN`a для этого собственно и придумано все. VLANы можно организовать по портам на сетевом оборудовании (это было изначально и классически), но сейчас на продвинутом дорогом сетевом оборудовании можно это делать и по пользователям и по рабочим станциям (правда это дороже и оборудование должно поддерживать такие фичи) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Requester Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Andrey_al совершенно правильно дал рекомендацию, если простым языком, то эти сети находящиееся в одном адресном пространстве разделены и из одного VLAN`a не увидишь, да и доступ не получишь к компьютерам другого VLAN`a для этого собственно и придумано все. VLANы можно организовать по портам на сетевом оборудовании (это было изначально и классически), но сейчас на продвинутом дорогом сетевом оборудовании можно это делать и по пользователям и по рабочим станциям (правда это дороже и оборудование должно поддерживать такие фичи) Суть в том, что эти 5 компьютеров должны видеть все расшаренные сервисы, папки и т.п. с других компьютеров сети, а те, в свою очередь, не должны видеть ничего с этих 5ти компьютеров. Насколько я понял по вашему описанию, если я выделяю их в отдельный VLAN, то ничего, кроме доступа в инет через центральный сервер, я не больше получить из сети не смогу? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Requester: у вас домен или одноранговая сеть? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Requester Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Пока что просто одноранговая сеть... Вскоре, насколько мне известно, будут что-то менять, но пока - ничего конкретного. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Requester: тогда рекомендую поднять AD. Используя групповые политики можно гибко настраивать уровни доступа к компьютерам, все что вы написали выше вполне реализуемо. Ко всему прочему необходимо максимально надежно защитить все эти 5 компьютеров от вирусов, троянов, хакерских атак и т.п., как со стороны пользователей сети 2(бывает-то всякое), так и со стороны внешних пользователей. самое эффективное - предоставить пользователям минимальные права в системе. Как показывает практика случаи вирусного заражения и т.п. уменьшаются в десятки раз. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Requester Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 самое эффективное - предоставить пользователям минимальные права в системе. Как показывает практика случаи вирусного заражения и т.п. уменьшаются в десятки раз. Ну это уже и так сделано. На самом деле проблема еще и в следующем. Я являюсь не системным администратором(еще одна проблема в том, что постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я) нашей сети, а одним из топ-менеджеров компании и нашему отделу требуется очень высокий уровень безопасности хранимой информации. Если в ближайшее время ситуация с постоянным сисадмином не решится, то доверяться настройкам центрального сервера, к которому доступ есть у нескольких человек, мне не очень бы хотелось. Отсюда и встает вопрос о том, чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне, и уже к ее настройкам доступ будет только у меня. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 (изменено) чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне управляемый свитч с VLAN Я являюсь не системным администратором похоже еще и иностранцем (еще одна проблема в том, что постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я) это не еще одна, а первая и основная... Если в ближайшее время ситуация с постоянным сисадмином не решится, а вы попробуйте ему зарплату предложить :blink: Изменено 29 августа, 2008 пользователем Andrey_al Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 Ну без затрат на сетевое оборудование как предложил Maikll поднять Active Directory и рулить хоть на уровне доступа к папкам: хоть через GPO. Затрат не требует, ВиЛАНы тоже делать не надо, но.... ограничить доступ легко и просто, если не для хакеров! :blink: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Requester Опубликовано 29 августа, 2008 Автор Жалоба Поделиться Опубликовано 29 августа, 2008 Я же говорю - основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема. Компания зарабатывает достаточно, чтобы обеспечить максимально надежные условия хранения информации, просто вопрос в том, какими они должны быть и как их реализовать? Можно конечно заплатить специалистам, которые придут, расскажут, купят и установят все, что надо, но лишние затраты, если их можно избежать, тоже никому не нужны. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Andrey_al Опубликовано 29 августа, 2008 Жалоба Поделиться Опубликовано 29 августа, 2008 (изменено) основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема. понты корявые Компания зарабатывает достаточно, чтобы обеспечить максимально надежные условия хранения информации, но, недостаточно, что бы нанять специалиста и оплачивать его услуги... отсюда: постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я :blink: вопрос в том, какими они должны быть и как их реализовать? нанять специалиста и не компостировать мозги ни себе ни другим, это же полный бред, когда менеджеры на форумах выясняют основы сетепостроения и обеспечения безопасности, вместо того, что бы заниматься своими прямыми обязанностями Можно конечно заплатить специалистам не можно, а нужно... другого пути нет но лишние затраты, если их можно избежать, тоже никому не нужны это не лишние затраты, а необходимость, и, нужно это, прежде всего, вашей фирме... и, беда, если вы этого не понимаете Изменено 29 августа, 2008 пользователем Andrey_al Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 30 августа, 2008 Жалоба Поделиться Опубликовано 30 августа, 2008 Можно конечно заплатить специалистам не можно, а нужно... другого пути нет Однозначно. Requester: без специалистов вам все-равно не обойтись. Нет таких решений, чтобы воткнул и все работает, нужна настройка под вашу конфигурацию, а сделать это своими силами... Если ваша специальность далека от информационных технологий - ничего путного из этого не выйдет Я же говорю - основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема. Ну блин, мои руки развязаны. :blink: Как насчет аппаратно-программного комплекса "КОНТИНЕНТ-К"? стоит всего-то 7-8 тысяч позеленевших американских президентов...зато защита соответсвует требованиям гостехкомиссии ФАПСИ. Вы пишете отсюда и встает вопрос о том, чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне а ваше было ...могла пользоваться расшаренными файлами, папками и программами остальной части сети и выходом в интернет через основной сервер без настройки на стороне "остальной сети" не получится. А этого вы не хотите. нашему отделу требуется очень высокий уровень безопасности хранимой информации. используйте шифрование, программное или аппаратное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.