Грамотное построение безопасной сети
 

Добрый день всем форумчанам. Задался недавно одним вопрос (смотри шапку) и как же это осуществить?
Мой вариант (ну настолько хватило опыта сильно не бейте):
1.Сеть доменная (уже работает) win2003 (AD DNS DHCP и еще немного)
2. Выход в инет через прокси ЮГ 2.8 (XP SP2) (тоже уже работает) (Да версия старая, но удобная и проста в эксплуатации)
3. Мои размышления: - вместо прокси поставить win2003, на него ISA2006 (или посоветуете forefront security), на эту же машину поставить wsus (ну и может быть какой нибудь почтовый сервер)
4. перед isa поставить еще аппаратный firewall

На этом моя мысля закончилась. Хотелось бы услышать где изьяны или качественно другой подход?

3. Лучше не совмещать.
4. Зачем? Если паранойя - то да.

А это можно сделать через виртуальные машины:
1 isa - цепляете на внутренню и внешнюю сетевые
2 exchange - цепляете на внутренню, в интернет пускаете через isa
3 wsus так же как и exchange

и закрыть доступ к хостовой из внешней - через w2k8 это делается.

Все рабоатет, не награмаждено и не требуется куча железа только придется бекапить хорошо этот сервак

1-ый вопрос: что Вы считаете для себя безопасной сетью?
2-ой вопрос: Перед Вами не стоит проблема лицензирования и соотв-о денег на ее решение?
3-ий вопрос: Есть ли у Вас возможность внедрять дополнительное оборудование? Поясню для чего. Так как безопасная сеть(ИМХО) это не только защита от вирусов, но и защита от потери, порчи, кражи данных, то нужны будут резервные сервисы всего того, что Вы нагородите.

Теперь мое мнение по Вашим предложениям:
1. Используйте это для уменьшения риска потери и порчи данных.
3. Вместе не надо не то чтобы лучше, а не надо ни в коем случае. Ибо оба этих приложения(особенно ISA) довольно тяжелые. Да и сбой в одном сервисе может помешать Вам предоставлять услуги другого сервиса без помех для работы пользователей.
4. Можно. Но не запутаетесь ли Вы потом в правилах где и что блокирует? На счет паранойи не соглашусь т.к. выставлять наружу сервис(хоть и достаточно надежный) на Windows, я бы не стал(ну или по боялся бы :) )
5. добавлю от себя. Нужен корпоративный антивирус, который будет регулярно обновляться, сканировать и мониторить ПК.

Ну это тоже перебор... Аппаратный файрвол, хоть он золотой, фильтрацию на уровне приложений не выполнит. Можете ради эксперимента запретить передачу файлов через Skype\QIP. В ISA - два клика мышкой.
Если хотите "безопасной" сети, задумайтесь еще и о внутренней угрозе. Ибо пользователи - главное зло в жизни. Снаружи хоть эшелон нагороди, они принесут дерьмо всякое из дома. Поэтому обдумайте: права пользователей на локальных машинах, software restriction policy, ограничение на использование съемных носителей. Для тех, кто с ноутами - NAP. И, что тоже немаловажно, административные ресурсы, вроде правил использования ресурсов корпоративной сети и етс., все задокументировано, подписано генеральным, и в случае чего можно любого подтянуть за воротник :)
По поводу совмещения ISA и WSUS, не стоит. А уж тем более почтовик. Если какой-то из серии Exchange, то они вообще лучше всего живут в полном одиночестве. Воспользуйтесь советом artem_, если средства позволяют ;)
И это мне тоже понравилось. Отказоустойчивость, избыточность и высокая доступность. Правда это не совсем относится к "безопасности" в плане Security. Но ход мыслей верный :)

с учетом поддерживаемых Microsoft конфигураций: http://support.microsoft.com/kb/897614


ИМХО: если интернет трафик только исходящий, то можно обойтись без ИСЫ - достаточно раздельных NAT и Proxy. Если возможны внешние входящие подключения/VPN, то все усложняется - чтобы "не светить сервисы" потребуется две ИСЫ - одна на границе домена и одна на границе DMZ (вне домена) плюс настройка RADIUS/IAS, пакетный фильтр тут не спасет (подробно), оно вам надо?

Неожидал столько ответов. Огромное спасибо за ваше время и внимание обязательно прислушаюсь к вашим советам. В ответах прозвучал вопрос что я имею ввиду под безопасной сетью ,извиняюсь заранее не указал меня интересовал аспект защита границы локальной сети-интернет. По поводу антивируса впланах поставить Касперского и развернуть AdmKIT.
В плане материального благополучия в наше время приходиться затягивать пояса но на антивирус думаю деньги выбью. Все остальное (за исключением железа естесвенно) придеться добывать самостоятельно. Да и пожалуйста у кого стоит изначально русская версия windows2003 не могли бы выложить файл scwhelp.chm (лежит в этой директории C:\WINDOWS\Help\scwhelp.chm) а то у меня на английском.
Еще раз всем спасибо. Тема думаю актуальна так что у кого еще будут советы пожалуйста поделитесь.

если еще углубиться в эту сторону, то можно использовать RADIUS и например Symantec Endpoint Compliance. вот это действительно очень серьезная проблема.

Одно другому не мешает. Если хочется фильтровать на уровне приложений, то тут ISA должна присутствовать бесспорно. Но как я уже написал, выставлять ISA Server сразу инет, я бы не стал. в По мне, так лучше перестраховаться, чем не достраховаться. :)
Очень полезный совет.Ну в первом посте не говорилось что именно считается безопасной, вот я и решил что это в общем контексте безопасности это тоже должно присутствовать :)

Ещё вопросик: народ а вы реально используете несколько учетных записей на КД для выполениния разных задач, ну там для администрирования УЗ с правами администратор домена , для архивирования тоже с соответствующими правами и тд.?

Да

Мне реально понравилось. Без сарказма :) Просто интересно, насколько вытянет абсолютно защищенная сеть на маленькую конторку в 100 пользователей. Это я отвлекаюсь от темы, но вопрос реально удивляет. Наверное очень дорого...