Zabezpieczenie sieci wewnątrz + load balancing + DynDNS

Wszystko co nie mieści się w pozostałych kategoriach
Wiadomość
Autor
env002
rookie
rookie
Posty: 10
Rejestracja: 16 sie 2009, 12:29

Zabezpieczenie sieci wewnątrz + load balancing + DynDNS

#1

#1 Post autor: env002 »

Witam,

Proszę o pomoc w dobraniu odpowiedniego rozwiązania dla potrzeb opisanych poniżej.

Firma posiada dwa łącza do internetu - od dwóch różnych dostawców. Idealnym rozwiązaniem byłby load-balancing między dwoma łączami, a gdy jedno z łączy padnie, to aby cały ruch przychodził / wychodził przez drugie łącze. Do tego, router powinien posiadać klienta DynDNS. Internetowe adresy IP są stałe, publiczne. Dla każdego łącza internetowego, operator zapewnia 1 adres IP.

Firma posiada serwer z maszynami wirtualnymi, które pełnią różne role (np. DNS, FTP, serwer aplikacji wewnątrz firmy, serwer aplikacji zewnątrz firmy). Chodzi o zabezpieczenie przed tym, że jeżeli ktoś włamie się na maszynę wirtualną z DNS to, aby nie mógł buszować po sieci firmowej (czyli żeby nie miał dostępu do np. maszyny wirtualnej z FTP). Chodzi o zabezpieczenie przed tym, że jeżeli ktoś włamie się na maszynę wirtualną z FTP to, aby nie mógł buszować po sieci firmowej (czyli żeby nie miał dostępu do np. maszyny wirtualnej z serwerem aplikacji wewnątrz firmy). I tak dalej.

Firma chce ograniczyć ruch wychodzący w ten sposób, aby zablokować np. torrenty, żeby dostęp do stron i usług w internecie był dostępny tylko dla adresów z whitelisty a jeżeli użytkownik wychodzi poza whiteliste to musi się zalogować i jest zapisywane w logu: użytkownik | adres IP. Albo żeby były blokowane np. torrenty, a jeżeli użytkownik wychodzi gdzie indziej to nie musi się logować, ale jest zapisywane w logu: użytkownik | adres IP.

Urządzenia sieciowe (np. routery) powinny posiadać możliwość zapisywania logów na zewnętrzny nośnik (np. na udział sieciowy) oraz konfigurację klienta NTP.

Preferowałbym rozwiązania software'owe (np. Vyatta - teraz VyOS, pfSense itp.) aniżeli zakup sprzętu, ale nie jest to wykluczone, prosiłbym o sugestie jak zbudować sieć, aby spełniała powyższe wymagania.

ODPOWIEDZ