[monkkey]

3. Лучше не совмещать.
4. Зачем? Если паранойя - то да.

[artem_]

Цитата Diesel315:

на эту же машину поставить wsus (ну и может быть какой нибудь почтовый сервер) »

А это можно сделать через виртуальные машины:
1 isa - цепляете на внутренню и внешнюю сетевые
2 exchange - цепляете на внутренню, в интернет пускаете через isa
3 wsus так же как и exchange

и закрыть доступ к хостовой из внешней - через w2k8 это делается.

Все рабоатет, не награмаждено и не требуется куча железа только придется бекапить хорошо этот сервак

[Grub]

1-ый вопрос: что Вы считаете для себя безопасной сетью?
2-ой вопрос: Перед Вами не стоит проблема лицензирования и соотв-о денег на ее решение?
3-ий вопрос: Есть ли у Вас возможность внедрять дополнительное оборудование? Поясню для чего. Так как безопасная сеть(ИМХО) это не только защита от вирусов, но и защита от потери, порчи, кражи данных, то нужны будут резервные сервисы всего того, что Вы нагородите.

Теперь мое мнение по Вашим предложениям:
1. Используйте это для уменьшения риска потери и порчи данных.
3. Вместе не надо не то чтобы лучше, а не надо ни в коем случае. Ибо оба этих приложения(особенно ISA) довольно тяжелые. Да и сбой в одном сервисе может помешать Вам предоставлять услуги другого сервиса без помех для работы пользователей.
4. Можно. Но не запутаетесь ли Вы потом в правилах где и что блокирует? На счет паранойи не соглашусь т.к. выставлять наружу сервис(хоть и достаточно надежный) на Windows, я бы не стал(ну или по боялся бы )
5. добавлю от себя. Нужен корпоративный антивирус, который будет регулярно обновляться, сканировать и мониторить ПК.

[Oleg Krylov]

Цитата Grub:

На счет паранойи не соглашусь т.к. выставлять наружу сервис(хоть и достаточно надежный) на Windows, я бы не стал(ну или по боялся бы ) »

Ну это тоже перебор... Аппаратный файрвол, хоть он золотой, фильтрацию на уровне приложений не выполнит. Можете ради эксперимента запретить передачу файлов через Skype\QIP. В ISA - два клика мышкой.
Если хотите "безопасной" сети, задумайтесь еще и о внутренней угрозе. Ибо пользователи - главное зло в жизни. Снаружи хоть эшелон нагороди, они принесут дерьмо всякое из дома. Поэтому обдумайте: права пользователей на локальных машинах, software restriction policy, ограничение на использование съемных носителей. Для тех, кто с ноутами - NAP. И, что тоже немаловажно, административные ресурсы, вроде правил использования ресурсов корпоративной сети и етс., все задокументировано, подписано генеральным, и в случае чего можно любого подтянуть за воротник
По поводу совмещения ISA и WSUS, не стоит. А уж тем более почтовик. Если какой-то из серии Exchange, то они вообще лучше всего живут в полном одиночестве. Воспользуйтесь советом artem_, если средства позволяют

Цитата Grub:

Так как безопасная сеть(ИМХО) это не только защита от вирусов, но и защита от потери, порчи, кражи данных, то нужны будут резервные сервисы всего того, что Вы нагородите. »

И это мне тоже понравилось. Отказоустойчивость, избыточность и высокая доступность. Правда это не совсем относится к "безопасности" в плане Security. Но ход мыслей верный

[amel27]

Цитата artem_:

можно сделать через виртуальные машины »

с учетом поддерживаемых Microsoft конфигураций: http://support.microsoft.com/kb/897614


ИМХО: если интернет трафик только исходящий, то можно обойтись без ИСЫ - достаточно раздельных NAT и Proxy. Если возможны внешние входящие подключения/VPN, то все усложняется - чтобы "не светить сервисы" потребуется две ИСЫ - одна на границе домена и одна на границе DMZ (вне домена) плюс настройка RADIUS/IAS, пакетный фильтр тут не спасет (подробно), оно вам надо?

[Diesel315]

Неожидал столько ответов. Огромное спасибо за ваше время и внимание обязательно прислушаюсь к вашим советам. В ответах прозвучал вопрос что я имею ввиду под безопасной сетью ,извиняюсь заранее не указал меня интересовал аспект защита границы локальной сети-интернет. По поводу антивируса впланах поставить Касперского и развернуть AdmKIT.
В плане материального благополучия в наше время приходиться затягивать пояса но на антивирус думаю деньги выбью. Все остальное (за исключением железа естесвенно) придеться добывать самостоятельно. Да и пожалуйста у кого стоит изначально русская версия windows2003 не могли бы выложить файл scwhelp.chm (лежит в этой директории C:\WINDOWS\Help\scwhelp.chm) а то у меня на английском.
Еще раз всем спасибо. Тема думаю актуальна так что у кого еще будут советы пожалуйста поделитесь.

[madmax24]

Цитата Diesel315:

защита границы локальной сети »

если еще углубиться в эту сторону, то можно использовать RADIUS и например Symantec Endpoint Compliance.

Цитата Oleg Krylov:

Ибо пользователи - главное зло в жизни. »

вот это действительно очень серьезная проблема.

[Grub]

Цитата Oleg Krylov:

Аппаратный файрвол, хоть он золотой, фильтрацию на уровне приложений не выполнит. »

Одно другому не мешает. Если хочется фильтровать на уровне приложений, то тут ISA должна присутствовать бесспорно. Но как я уже написал, выставлять ISA Server сразу инет, я бы не стал. в По мне, так лучше перестраховаться, чем не достраховаться.

Цитата Oleg Krylov:

все задокументировано, подписано генеральным, и в случае чего можно любого подтянуть за воротник »

Очень полезный совет.

Цитата Oleg Krylov:

Правда это не совсем относится к "безопасности" в плане Security. »

Ну в первом посте не говорилось что именно считается безопасной, вот я и решил что это в общем контексте безопасности это тоже должно присутствовать

[Diesel315]

Ещё вопросик: народ а вы реально используете несколько учетных записей на КД для выполениния разных задач, ну там для администрирования УЗ с правами администратор домена , для архивирования тоже с соответствующими правами и тд.?