[Ment69]

Nowal Я не великий специалист в CISCO но по моему её программное обеспечение и составляет UNIX подобная ось.

[kim-aa]

Nowal

Цитата:

Главный приоритет это защита от внешних угроз.

Что вы собрались защищать от внешних угроз? Если у вас есть ресурсы (сервера, службы) которые вы собираетесь выставлять наружу, то это одно.
Если же у вас просто куча пользователей будет тупо лазат ьв интернет это другое.
От закачки троянов фаерволы не помогают.

Цитата:

насколько он там удачно реализован

Приведите пример, с Вашей точки зрения, удачно реализованного фаервола и тогда я смогу ответить.
Кому-то и XP-шный фаервол счастье. а кого-то и firewall-1 не устраивает.
Какие функции по Вашему должен реализовать фаервол?

Вот вам, почитайте http://www.cisco.com/global/RU/news/releases/0716.shtml , как раз на одной странице описываетсяи ASA и IOS

Ment69
Ну она конечно Unix-подобна, только UNIX этот от силы семидесятых годов. (это по системе команд).
По архитектуре она больше походит на Windows 3.11

[sergey1234567]

Кстати при покупке CISCO очень рекомендую смотреть что содержит прошивка, а именно содержит она firewall, а то ведь прошивки к каждой модели свои и стоят денег!

[Nowal]

Цитата:

Что вы собрались защищать от внешних угроз?

Базу sql 1с, траффик через https, доступ к машинам локальной сети. Вот то что нужно защитить. Потому как высока вероятность что будут попытки взломать сервер(получить доступ к базам к документообороту) либо вывести его из строя. Планируется сильно ограничить доступ в интернет с целью уменьшить вероятность получения троянов. Доступ будет только к определённым доменам. А вот с оборудованием ни как определиться не можем. Нужен нам сетевой экран, маршрутизатор как отдельные устройства или можно взять сплит систему.

[kim-aa]

Nowal
1) пока вы не определитесь с архитектурой и топологией системы которую Вы хотите построить - с оборудованием Вы не определитесь тем паче.
2) Рисуйте схему подключения серверов, рабочих станций.
3)

Цитата:

Базу sql 1с

Что вы имели в виду?
- Порты MS SQL?
- SMB порты?
- RDP/ICA порты?
- вобще стоит задача доступа к базе извне? Или такой задачи нет?
- https? какое приложение будет работать по данному протоколу? Оно должно быть доступно извне?
- вобще перечислите сервисы и машины которые должны быть доступны извне.
- 1С - какая версия? 7.7 или 8.0?
4) Ваша задача является задачей сегментации сети по уровням безопасности/производительности
для нее у нас существует отдельная ветка http://forum.oszone.net/thread-69237.html
Ознакомтесь. Может что-либо Вам пригодится.

[Nowal]

Схема построения сети в приложении.

К Серверу SERVER 1C+SQL хотелось что бы вообще доступа с интернета не было. С 1С будут работать только пользователи локальной сети.
А вот на HTTPS сервер будет лазить много народу с глобальной сети закидывать через него на компьютер USER1 данные которые он будет перенаправлять на SERVER 1c+SQL. Все остальные компьютеры должны работать в интернете по определённым адресам, тоесть полного доступа не будет.
Небольшой вопрос: Коммутатор может являться роутером или обязательно необходимо выделять отдельную машину?

[kim-aa]

Цитата:

Коммутатор может являться роутером

Коммутатор 3-го уровня (и выше) eстественно подерживает маршрутизацию.

Встроенные фаерволы там весьма простые (ACL - фильтрующие).
Типов Интерфесов не много однако все это окупается скоростью.

Маршрутизаторы - это полная противоположность вышеописанному.
Богатая функциональность и небольшие скорости.
http://wiki.oszone.net/index.php/Маршрутизатор

Схемку вы нарисовали не правильно. По ней выходит что HTTPS имеет свой собственный доступ в интернет минуя маршрутизатор.

Мои рекомендации:
- Подбор оборудования - как в этой теме http://forum.oszone.net/thread-79670.html
- Все на Cisco целиком вы не потянете - не уложитесь в бюджет.
- HTTPS сервер должен располагаться в отдельном сегменте или между интернет-фаерволом и основным фаерволом.
- При таких требованиях к защищенности 1С-сервер должен жить так же в отдельном сегменте, т. е. должна быть возможность отфильтровать любой трафик направленный к нему, в том числе и от локальных машин.
- Так же должен быть изолирован прокси-сервер.
- Роль основного фаервола должен играть или коммутатор 3-го уровня или устройство типа
http://zyxel.ru/content/catalogue/7/23/368

- Роль интернет-шлюза устройство типа http://zyxel.ru/content/catalogue/7/23/245/
оно уже обладает аппаратной возможностью резервирования интернет-каналов.

- Общая архитектура будет состоять из 3х сегментов:
-- LAN (Сервера общего назначения + станции)
-- 1С
-- HTTPS, PROXY, MAIL

(В принципе можно вообще все построить на одном таком устройстве (Zywall 1050) - числа выводов как раз пять - 2xWAN + 1С+https+LAN
однако если оно сдохнет, вам нечем будет востановить сеть, в случае же наличия 2х железяк можно как-нибудь перекантоваться на время ремонта)

- Рисовать у меня нет времени, но если Вы потерпите, я попытаюсь чего-либо изобразить в понедельник.

[Nowal]

Да уже наверное 2500$ не потолок можно и больше главное что бы надежность была высокой. А HTTPS SERVER на схеме просто как машина на которой развёрнут WEB узел с которым будут работать клиенты нашей компании. Время пока не поджимает буду рад любой помощи.

[sergey1234567]

А нельзя ли попонятнее про Коммутацию третьего уровня (Layer 3 Switch). Т.е. с Коммутирующими маршрутизаторами (switching routers) всё ясно, а вот с Маршрутизирующими коммутаторами (routing switches) - ?. Если несложно очень хочется получить 'ликбез'.

[kim-aa]

sergey1234567
Это очень долгая "бодяга". Основные отличия указаны в ссылке которую я привел.
Более подробно можно прочесть например в "Принципы коммутации в локальных сетях Cisco" Кеннеди Кларк, Кевин Гамильтон.
Данную книгу можно нарыть в электронном виде в инете.
Если хотите я могу выслать Вамм почтой.

Что касается практики, то эпоха "чистых" маршрутизирующих коммутаторов в ethernet ушла (Бесспорно в АTM или SDH вы их встретите.).
(Наиболее типичными представителями что я знаю были cisco Catalyst 4000, 5000)
Почти все имеющиеся коммутаторы 3-го уровня поддерживают протоколы маршрутизации.
Т. е. даже если с точки зрения структуры он является Маршрутизирующим коммутатором, то к нему внутри прикручен маршрутизатор.
А что там внутри - бог его знает, можно только догадываться.

Я думаю что указанная классификация уже в чистом виде не встречается и используется для моделирования мли расчета схем ЛВС.
На практике можно считать наличие устройства 2х типов (режимов работы):
- если у устройства по умолчанию режим работы 3-го уровня - это маршрутизатор (коммутирующий или нет это уже не важно)
- если устройство по умолчанию имеет режим работы как коммутатор 2-го уровня, но вы можете включить интерфейсы или VLAN с адресацией 3-го ( cisco Catalyst 35xx, 36xx, 37xx) - то скорее всего основой устройства является маршрутизирующий коммутатор (хотя во включенном режиме 3-го уровня данные устройства поддерживают протоколы маршрутизации ,т.е ведут себя как Коммутирующие маршрутизаторы).