Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] Как сделать Фаервол для локальной сети на 50ПК

Ответить
Настройки темы
[решено] Как сделать Фаервол для локальной сети на 50ПК

Пользователь


Сообщения: 76
Благодарности: 1

Профиль | Отправить PM | Цитировать


Привет всем, опытные системные администраторы подскажите как сделать фаервол для локальной сети, чтобы защищал от внешних атак, в офисе стоят 50 ПК рабочие станции в доменной сети, по управлением WinServ2008R2, задача такая нужно сделать фаервол типа как ПК отдельно стоящий, чтобы он фильтровал входящий трафик и защищал все 50 ПК рабочие станции от внешних атак.

Отправлено: 06:49, 01-07-2017

 

Ветеран


Сообщения: 2584
Благодарности: 245

Профиль | Отправить PM | Цитировать


вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"?

Отправлено: 03:55, 03-07-2017 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 76
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата bredych:
вам фильтрующий рутер нужен между инетом и вашей сеткой? И именно в виде пк? Не в виде специализированного устройства по имени "хардварный фв"? »
На отдельную железку денег наверное не дадут, просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения, так как у нас есть любители которые желают погулять не в безопасной среде.

Отправлено: 05:49, 03-07-2017 | #3


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Andrei77:
просто сделать отдельно стоящий ПК, который будет фильтровать интернет и защищать от внутренних сетевых атак, чтобы чистил интернет входящие соединения »
Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 14:46, 07-07-2017 | #4


Аватара для IT Shepherd

Ветеран


Сообщения: 700
Благодарности: 148

Профиль | Отправить PM | Цитировать


Andrei77, посмотрите pfsense. Там можно ставить дополнительные расширения, тот же snort например

-------
Эникейщик :)


Отправлено: 14:21, 09-07-2017 | #5


Пользователь


Сообщения: 76
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата paranoya:
Это не одна железка и программа, это комплекс мер.
Если есть откуда взять отдельно стоящий ПК, на котором никто не будет работать, то для фильтрации Интернета (ограничение хождения по непотребным сайтам) можно использовать кучу бесплатных софтварных прокси-серверов на основе Линукс с понятным и доступным веб-интерфейсом, самые популярные: pfsense, smothwall, ipcop.
Защита от внутренних сетевых атак сложнее, так как требует проработки схем доступа и в общих чертах выглядит так: правильно сконфигурированный фаерволл на каждом компьютере, ограничение по административным правам, по доступу к информации, ресурсам, оборудованию. »
Ну а если вот этот вариант (mikrotik rb750) для всех моих нужд, можно-ли с него выжить, все что мне необходимо для сети, защита от внутренних атак, от внешних атак, защита от порно, фишинговых сайтах, сделать так чтобы когда пишешь определенное слово к примеру СЕКС или ПОРНО, чтобы эта железка блокировала ключевое слово, вот вопрос потянет-ли эта железка все что я перечислил.

Отправлено: 12:26, 10-07-2017 | #6


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.

PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй".

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 19:59, 10-07-2017 | #7


Пользователь


Сообщения: 76
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата paranoya:
Нет, всего этого ротуре не сможет сделать, это не его функционал.
На сколько мне известно, блокировать запросы по словам routeros (которая является основой для всех микротиков) не может, максимум что может сделать, так это блокировать *.pornhub.*, или любой другой сайт, в URL которого содержится слово porn, в том числе и URL, в которых porn является частью слова. Защита от внутренних атак только на уровне блокировки протоколов, портов и всяких DDOS, то есть на самом простом уровне, от проникновения Wannacry и всяких Petya, не защитит.
Как я ранее говорил: всё, что ты хочешь, это комплекс мер (аппаратных, программных, административных, управленческих), а не одна, копеечная железка.
PS. И да, трудно будет отфильтровать секс, потому-что важен контекст запроса, так-как можно попасть в непростую ситуацию с фильтрованием "х*й" и словом "застрахуй". »
Ну хорошо я понял, что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд, или может быть нужна не одна железка там к примеру, сервер с программным обеспечением + железка, в принципе я могу попробовать выбить деньги на хорошую железку, так как смотрю на все это и понимаю, что деваться уже не куда.

Отправлено: 05:57, 11-07-2017 | #8


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Andrei77:
что этой железке мне не хватит для этих нужд, ну а какую железку Вы посоветуете для все этих нужд »
Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 10:58, 11-07-2017 | #9


Пользователь


Сообщения: 76
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата paranoya:
Неправильный подход. Сначала полное подробное описание требований и не к железке, а к системе защиты, а затем всё остальное. Потому как для простого контроля выхода юзеров в Интернет достаточно программ, которые были приведены выше, а если надо фильтровать запросы, то нужно искать ПО, которое это может. Для простого разграничения внутри сети достаточно правильно настроенного фаервола, антивируса и ограничение прав пользователей.
И да, всё это делает не одна железка с ПО, а куча железок, с кучей ПО. »
ЯСНО, значит 1)Защитить все 50ПК в сети от внешних атак, 2)сделать так, чтобы пользователи не наглели и не грузили интерне, как бы ограничить некоторые ПК по скорости, 3)заблокировать сайты, соц сети, видеохостинги и всякую подобную беду, хотелось бы блокировать по конкретным запроса или ключевым словам, к примеру секс, секси, порно, порнуха и так далее, в принципе всё как такого больше требований пока нет, на что я могу рассчитывать?

Отправлено: 12:59, 11-07-2017 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] Как сделать Фаервол для локальной сети на 50ПК

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - Как сделать подключение по локальной сети подключением к Интернету по умолчанию? Макс1 Сетевые технологии 3 08-05-2015 06:12
Доступ - Как в локальной сети закрыть диск на запись для некотрых компьютеров? chippo Хочу все знать 31 07-03-2013 01:11
Какой фаервол лучше для корпоративной сети scrool Microsoft Windows NT/2000/2003 0 05-01-2013 11:24
CMD/BAT - Как автоматически сделать папку на Рабочем столе и расшарить ее в локальной сети? andrusha0 Скриптовые языки администрирования Windows 3 28-01-2011 19:55
Интернет - Как сделать подключение локальной сети общедоступным VbInt Microsoft Windows 7 3 05-01-2010 02:37




 
Переход