Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   [решено] Как сделать Фаервол для локальной сети на 50ПК (http://forum.oszone.net/showthread.php?t=328010)

Andrei77 01-07-2017 06:49 2748394

Как сделать Фаервол для локальной сети на 50ПК
 
Привет всем, опытные системные администраторы подскажите как сделать фаервол для локальной сети, чтобы защищал от внешних атак, в офисе стоят 50 ПК рабочие станции в доменной сети, по управлением WinServ2008R2, задача такая нужно сделать фаервол типа как ПК отдельно стоящий, чтобы он фильтровал входящий трафик и защищал все 50 ПК рабочие станции от внешних атак.

bredych 03-07-2017 03:55 2748669

вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"?

Andrei77 03-07-2017 05:49 2748671

Цитата:

Цитата bredych
вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"? »

На отдельную железку денег наверное не дадут, просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения, так как у нас есть любители которые желают погулять не в безопасной среде.

paranoya 07-07-2017 14:46 2749749

Цитата:

Цитата Andrei77
просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения »

Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию.

IT Shepherd 09-07-2017 14:21 2750117

Andrei77, посмотрите pfsense. Там можно ставить дополнительные расширения, тот же snort например

Andrei77 10-07-2017 12:26 2750352

Цитата:

Цитата paranoya
Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию. »

Ну а если вот этот вариант (mikrotik rb750) для всех моих нужд, можно-ли с него выжить, все что мне необходимо для сети, защита от внутренних атак, от внешних атак, защита от порно, фишинговых сайтах, сделать так чтобы когда пишешь определенное слово к примеру СЕКС или ПОРНО, чтобы эта железка блокировала ключевое слово, вот вопрос потянет-ли эта железка все что я перечислил.

paranoya 10-07-2017 19:59 2750464

Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.

PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй".

Andrei77 11-07-2017 05:57 2750532

Цитата:

Цитата paranoya
Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.
PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй". »

Ну хорошо я понял, что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд, или может быть нужна не одна железка там к примеру, сервер с программным обеспечением + железка, в принципе я могу попробовать выбить деньги на хорошую железку, так как смотрю на все это и понимаю, что деваться уже не куда.

paranoya 11-07-2017 10:58 2750555

Цитата:

Цитата Andrei77
что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд »

Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО.

Andrei77 11-07-2017 12:59 2750592

Цитата:

Цитата paranoya
Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО. »

ЯСНО, значит 1)Защитить все 50ПК в сети от внешних атак, 2)сделать так, чтобы пользователи не наглели и не грузили интерне, как бы ограничить некоторые ПК по скорости, 3)заблокировать сайты, соц сети, видеохостинги и всякую подобную беду, хотелось бы блокировать по конкретным запроса или ключевым словам, к примеру секс, секси, порно, порнуха и так далее, в принципе всё как такого больше требований пока нет, на что я могу рассчитывать?

paranoya 11-07-2017 15:19 2750644

Andrei77, я писал про полное и подробное. В твоём же первом пункте не расписано, что значит "защитить" и от каких внешних атак, а это важно. :)
Если же предлагать решение тому, что ты написал, то выше уже был приведён список прокси-серверов, которые это умеют делать, кроме блокировки запросов по ключевым словам, потому как мне такой функционал не нужен был и я не интересовался его наличием.
То есть, тебе нужна железка и если будет разбор слов, то желательно помощнее, плюс ПО список есть выше.

Andrei77 11-07-2017 15:56 2750653

Цитата:

Цитата paranoya
Andrei77, я писал про полное и подробное. В твоём же первом пункте не расписано, что значит "защитить" и от каких внешних атак, а это важно.
Если же предлагать решение тому, что ты написал, то выше уже был приведён список прокси-серверов, которые это умеют делать, кроме блокировки запросов по ключевым словам, потому как мне такой функционал не нужен был и я не интересовался его наличием.
То есть, тебе нужна железка и если будет разбор слов, то желательно помощнее, плюс ПО список есть выше. »

Спасибо, попробую сделать старт.

макс12345 11-11-2018 20:09 2840309

просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак

НеУбейСистему 19-02-2019 03:11 2858693

поставь несколько vpn соедени в одну локалку, разные подсети между ними.

50 компов, раздели на группы поставь шифрование трафика загони его в тор через маршрутизатор

для начала хватит

копай в направлние аппаратного шифрования трафика в тор

порты блочь только инет должен быть только сайты с сертификатами с префиксом s по защищеному каналу оставь, остальные, запросы перенаправляй на отдельный комп или службу
минимум 5 компов должно будет задействовано, минимум 2 инернета

удачных эксперементов

ставь нормальное железо который будет стоять перед компами
далее просто смотришь мониторинг и блочишь порты и перекидываешь с сетки в сетку компы так же учти должны быть еще компы которые ты будешь выдавать за основные даже можно посадить для таких целей реальных зверей которые будут делать что то не существенное, тот же бухгалтер не первый, без доступа к существенным данным.

не лезь в воду не зная броду


Время: 19:39.

Время: 19:39.
© OSzone.net 2001-