Привет всем, опытные системные администраторы подскажите как сделать фаервол для локальной сети, чтобы защищал от внешних атак, в офисе стоят 50 ПК рабочие станции в доменной сети, по управлением WinServ2008R2, задача такая нужно сделать фаервол типа как ПК отдельно стоящий, чтобы он фильтровал входящий трафик и защищал все 50 ПК рабочие станции от внешних атак.

вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"?

вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"? »На отдельную железку денег наверное не дадут, просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения, так как у нас есть любители которые желают погулять не в безопасной среде.

просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения »
Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию.

Andrei77, посмотрите pfsense. Там можно ставить дополнительные расширения, тот же snort например

Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию. » Ну а если вот этот вариант (mikrotik rb750) для всех моих нужд, можно-ли с него выжить, все что мне необходимо для сети, защита от внутренних атак, от внешних атак, защита от порно, фишинговых сайтах, сделать так чтобы когда пишешь определенное слово к примеру СЕКС или ПОРНО, чтобы эта железка блокировала ключевое слово, вот вопрос потянет-ли эта железка все что я перечислил.

Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.

PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй".

Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.
PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй". »
Ну хорошо я понял, что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд, или может быть нужна не одна железка там к примеру, сервер с программным обеспечением + железка, в принципе я могу попробовать выбить деньги на хорошую железку, так как смотрю на все это и понимаю, что деваться уже не куда.

что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд »
Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО.

Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО. »
ЯСНО, значит 1)Защитить все 50ПК в сети от внешних атак, 2)сделать так, чтобы пользователи не наглели и не грузили интерне, как бы ограничить некоторые ПК по скорости, 3)заблокировать сайты, соц сети, видеохостинги и всякую подобную беду, хотелось бы блокировать по конкретным запроса или ключевым словам, к примеру секс, секси, порно, порнуха и так далее, в принципе всё как такого больше требований пока нет, на что я могу рассчитывать?

Andrei77, я писал про полное и подробное. В твоём же первом пункте не расписано, что значит "защитить" и от каких внешних атак, а это важно. :)
Если же предлагать решение тому, что ты написал, то выше уже был приведён список прокси-серверов, которые это умеют делать, кроме блокировки запросов по ключевым словам, потому как мне такой функционал не нужен был и я не интересовался его наличием.
То есть, тебе нужна железка и если будет разбор слов, то желательно помощнее, плюс ПО список есть выше.

Andrei77, я писал про полное и подробное. В твоём же первом пункте не расписано, что значит "защитить" и от каких внешних атак, а это важно.
Если же предлагать решение тому, что ты написал, то выше уже был приведён список прокси-серверов, которые это умеют делать, кроме блокировки запросов по ключевым словам, потому как мне такой функционал не нужен был и я не интересовался его наличием.
То есть, тебе нужна железка и если будет разбор слов, то желательно помощнее, плюс ПО список есть выше. »
Спасибо, попробую сделать старт.

просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атакhttp://vika-nice.com/images/banners/fotopng/ph33.png (http://vika-nice.com/sex)

поставь несколько vpn соедени в одну локалку, разные подсети между ними.

50 компов, раздели на группы поставь шифрование трафика загони его в тор через маршрутизатор

для начала хватит

копай в направлние аппаратного шифрования трафика в тор

порты блочь только инет должен быть только сайты с сертификатами с префиксом s по защищеному каналу оставь, остальные, запросы перенаправляй на отдельный комп или службу
минимум 5 компов должно будет задействовано, минимум 2 инернета

удачных эксперементов

ставь нормальное железо который будет стоять перед компами
далее просто смотришь мониторинг и блочишь порты и перекидываешь с сетки в сетку компы так же учти должны быть еще компы которые ты будешь выдавать за основные даже можно посадить для таких целей реальных зверей которые будут делать что то не существенное, тот же бухгалтер не первый, без доступа к существенным данным.

не лезь в воду не зная броду