|
贊助商連結 paul.us 2005-01-29, 01:29 AM 手中有顆2G CPU想藉此以FedoraCore3製作一個高速Router/Firewall構想不知利弊為何? 我的網路架構構想是由WAN進入LAN第1個網段掛上所有的工作站,藉一架高速Router/Firewall 到比較機密性的部門(i.e. 會計,財經等 )的第2網段如此可以有過濾及路由封包雙種功能,費用預估:Giga 網卡2張(約3k)或光纖網卡2張(約6k) + switch +汰舊電腦一部,請各位先學提供意見 To be OR not to be? 贊助商連結 cheerx 2005-01-29, 01:43 AM 當路由器以台灣的環境,當然是沒有問題的,因為你能接的寬頻頻寬有限,不用這麼暴力的CPU都可以處理了. 幫防火牆的話,如果您不是非常熟LINUX的話,可能有很多安全性的問題你會不知道去規避. 不管ROUTER的效能多快,LINUX上的ㄧ些標準套件核心仍然是無法阻擋許多不同型態的DOS或是還有緩衝區溢位攻擊,只要攻擊者有心就很容易可讓你的ROUTER處理器滿載. 如果需要較高度的安全性或許BSD會是較佳的方案. paul.us 2005-01-29, 02:12 AM cheerx兄,很抱歉我的文章誤導你以為是WAN to LAN的路由防火牆實際上是老闆相信把財務部等機密單位和資料庫伺服器等放在LAN裡的第二網區(由WAN必須經過兩段route才能到第2網段)比較不會被駭而且預計在這部DIY Router 設防火功能如財務部各電腦可對外交流,在第1網段的web server 可存取 db外其餘工作站禁止與第2網段交流 cheerx 2005-01-29, 02:38 AM 這樣的規劃就比較沒問題,LAN的防火牆除非是資訊科技相關公司或是上市上櫃公司有安全稽核問題,不然沒有這麼重視安全係數,架設容易和彈性大概是您比較需要考量的,小弟沒看清楚,多包含喔. linux_xp 2005-01-29, 07:12 PM http://img187.exs.cx/img187/1147/lan010xt.gif NAT 下,所有區網電腦皆沒有固定IP 因此沒有被"直接"駭入的危險 但是: --------------------------------- 1.伺服器可能會被拿來當「跳板」,如果伺服器被破解了 駭客就能輕易進入區網內的工作站台群組,取得敏感資料 2.工作站群組的電腦,有可能不小心中了木馬 木馬讓工作站電腦開出連線通道,變成「跳板」 讓駭客得以對區網內部電腦進行入侵 http://img163.exs.cx/img163/9766/lan029yv.gif DMZ 區的 server,都自帶防火牆軟體,並且不和區網相連 即使被破解,也偷不到區網內部的資料 另外最好也不要開 SSH 或 Telnet 等遠端服務 要設定直接到機房本機設定,可以避免被破解 除非是經由server本身服務的漏洞入侵 工作站台群組,不直接和internet連接 (不設閘道) 工作站電腦對外要求服務,全部強制得透過 PROXY 1.即使工作站電腦中了木馬,也無法與 internet連接,因為沒有閘道 2,PROXY server ,自帶防火牆,可兼做 NAT、DHCP主機 對內網卡:開放 對外網卡:全部關閉,包括ICMP封包和DNS封包都直接丟棄 換句話說,要從 internet 破解它 = 不可能 因為沒有任何 prot 可以從WAN端進入那台proxy server 3.DoS,DDoS之類攻擊,可以考慮在交換器前面 加一台硬體防火牆來偵測阻擋 前端先行過濾,可減少後端server要處理的封包數量,減輕cpu負載 而 Linux 在這個架構下,能夠擔任的位置有: 1.proxy server (也可以看作是 router) 2.DMZ 區中的各服務 server paul.us 2005-01-30, 07:24 PM linux_xp兄,我的linux學齡不到45天對linux不像windows樣深入幸運的有你,no1adsl,cheerx及工友ㄚ土先學們熱心指導linux目前能運用的可能也只有我發表文章這幾種功能,原則上我是從事IDC開發,網路架構也蠻單純的,通常IDC心臟的DB Server 我會放在web server 之後(另一個網段)對DB存取只透過web server,客戶的信箱(如果必要email的話)租專業的yahoo去忙,但客戶和其買主及物料供應我們有一套InterMessages的作法我的網站有說明,今天會請教你們是因客戶要求編寫Oracle所以原來 paul.us 2005-01-30, 07:53 PM linux_xp兄,我的linux學齡不到45天對linux不像windows樣深入幸運的有你,no1adsl,cheerx及工友ㄚ土先學們熱心指導linux目前能運用的可能也只有我發表文章這幾種功能,原則上我是從事IDC開發,網路架構也蠻單純的,通常IDC心臟的DB Server 我會放在web server 之後(另一個網段)對DB存取只能透過web server,客戶的信箱(如果必要email的話)租專業的yahoo去忙,但客戶和其買主及物料供應我們有一套InterMessages的作法我的網站有說明,今天會請教你們是因客戶要求編寫Oracle所以原來web,db間的跳線變成web,db間必須加裝router/switch 像giga的router/switch 很貴況且硬體配備延伸性差 i.e. tcp由v4轉變到v6等等屆時硬體配備可能沒法改而成為廢物,我DIY這部如果用的是光纖卡則保證ms sql和oracle 2部以上db server 有著確保giga頻寬,況且FC3的硬體資源很低當機機率低,我在"RAID電腦加速"一文提到總根"/"磁區用的是Mirror RAID 1主機要掛更難,資料及交換區ATA60兩顆與單一的SATA速度沒什麼差別,我很希望更多的先學們上來指點討論,讓我們這些後知能好好運用FC作些事. linux_xp兄可否教我貼visio圖檔於此論壇,日後寫此結語會用得到謝謝 linux_xp 2005-01-31, 12:34 AM 鳥哥的教學網站,簡易 ROUTER架設: http://linux.vbird.org/linux_server/0230router.php 基本上,stantic (固態) router 只要用內建的 route 指令,就能簡單架設 支援 RIP、IGRP...等路由通訊協定的 dynamic (動態) router 則需要額外安裝軟體 而以樓主的架構需求來看 stantic router 即可應付需求,速度也比較快 阿土站長對上傳圖片的說明: http://www.pczone.com.tw/showthread.php?threadid=135556 |
|
|