как организовать сеть?
 

на данный момент сеть работает. вопрос стоит об эффективности и безопасности ее построения - она вся дырявая!
я хочу по одному серверу и по одному узлу перестроить сеть. пару вопросов:

1. в связи с тем что каждый сервер выполняет свою функцию и нежелательно спаривать несколько функция на одном сервере (например когда на одном серваке стоит контроллер домена+почтовик и т.д.) сколько выходов из моей ЛВС должно быть?
У меня несколько связей с другими сетями *)интернет *)ВПН *)почта *)
как мне лучше все организовать? пустить ВСЕ через один файрвол? или сделать несколько? или пусть все само лезет(ну держать с антивирем, апдейтами и патчами)?

2. у кого есть опыт, можно без лишних потерь поставить на одну машину 2 интернета? в смысле на один прокси 2 канала? какие подводные камни могут возникнуть? или лучше под каждый канал свой прокси?

3, стоит ли на контроллер домена ставить еще какие нибудь функции. например файрвол? а то 95% времени контроллер простаивает

по вопросов нет!

Топологию в студию. Сколько и чего в наличии непонятно.

Начинай с самого главного Контроллер домена
1. Устанавливай на него Лицензию 2000 или 2003 сервера от количества клиентов выбери что тебе нужно. (1компьютер - в домене)
2. Установи Фаер вол isa 2000 или 2004 что по душе и по запросам, я думаю лучше 2004 так как ВПН у тебя я смотрю будет.
Ставь его отдельный компьютер НЕ В ДОМЕНЕ просто в рабочей группе или создай на этой же машине еще одирн локальный домен. (1 компьютер - другой домен или рабочая группа). Соответственно 2 сетевые карты одна LAN другая WAN
3. Почтовик если уж у тебя не так много пользователей поставь его на домен или на отдельную машину exchange 2000/2003. (1комьютер - в домене)
4. Фаил сервер тут от потребнростей у меня стоит 800Гб в зеркале тобишь 4 диска по 400 гб. Не чего хранить инфу на локальных машинах, тебе это облегчит жизнь и пользователям которые любят стирать все подряд и потом орать востановите фаил. Этот же сервер по backup Я советую VERITAS. тут проложи сеть от свичей до домена и бекапп сервера получше гигабитки или оптоволокно. (1компьютер - в домене)
5.В каждом офисе Удаленно поставь по серваку + фаер волу (соответсвенно фаер на другом компе не в домене.)
Я считаю что не целесообразно использывать ВПН если туда неходят пользователи так как ресурсы и трафик гоняет ВПН дай боже... Если работаю люди то ставь + IPsec или RADIUS по своему усмотрению ;)

как насчет:
2. у кого есть опыт, можно без лишних потерь поставить на одну машину 2 интернета? в смысле на один прокси 2 канала? какие подводные камни могут возникнуть? или лучше под каждый канал свой прокси?


Butunin Klim
а почему файрвол не ставить в домен?

и поясни пож-ста про ВПН: как я понял если будет просто файлообмен, то его не выгодно ставить, если будут пользователи заходить - то ставить?
у меня пользователи на другом конце предполагаемого ВПН"а (192,168,1,*) будут использовать веб интерфейс и коннектиться к серверу (192,168,0,*) в моей сети

IgorK
примерная топология в файле

- Эти рекомендации относятся ко всем узлам "бастионного" типа, фаервол лишь один из них.
- А потому что если его взломают, то хакер автоматически окажется в домене.
- В случае существования машины вне домена, ломать придется в двое больше.
- Возможно применение разных политик безопасности. Вобще "игры" с настройками безопасности "по умолчанию"в домене это "Русская рулетка". Т.к. если гакнется, то к вам придет весь Домен, дабы "сказать большое общечечеловеческое спасибо". Почитайте по форуму, в ветке Win2k, поиск по словам "Востановление, контролер, домен".
- На фаерволах обычно отключают множество служб, и Server+Workstation обычно в первую очередь, а без этих служб Домен не виден, и соответственно залогиниться Вы не сможете.

Схема построения зависит, конечно, от потребностей:
- в надежности внешних каналов
- в безопасности подключений
- в стабильности RAS-подключений
и т.п.

Я бы сделал примерно так:
то, что на каждый внешний выход нужен файрвол - несомненно, потому, конечно, лучше все каналы собрать на один сервер и на нем закрутить файрвол+прокси. Но, если нужна отказоустойчивая система, то такую связку лучше продублировать, на случай краха чего-либо (канала связи, промежуточного сервера с файрволом и прокси, взлома и т.п.). В случае дублирования можно обеспечить себя резервом на вышеперечисленные случаи (в случае взлома вообще отключить физически) и ничего не случитца... :-). А внутри заиметь один серверок под учетные записи пользователей, на него повесить контроль состояния и, при необходимости, переключения внешних каналов (для прокси, например, корректировкой файла автоматической настройки...). А почту уж по желанию. Либо внутри, либо вкупе с файрволл+прокси... Можно тоже на отдельный сервер вынести. Тут уж нужно смотреть на предполагаемый поток данных.

всем спасибо!
на файрвол не будет требовтаь идентификации учетной записи при обращении к нему? или он просто на физическом уровне регулирует потоки и все?

IgorK
если я внутри своей сети поставлю машинку с учетными записями пользователей, то ей придется перекидывать весь трафик на рабочий на файрвол, а тот в свою очередь на выход во внеш сеть. Таким образом, мы создаем дополнительный перевалочный пункт для трафика!
я правильно все понял?