Thiết lập bộ định tuyến NAT kinh doanh an toàn và hiệu quả


1

Lý lịch

Tôi đang thiết kế một thiết lập máy chủ cho doanh nghiệp nhỏ nơi tôi làm việc. Chúng tôi muốn có thể lưu trữ máy chủ web của riêng mình và các dịch vụ khác trong tương lai tại địa điểm của chúng tôi.

Là anh chàng IT / anh chàng mạng / chuyên gia công nghệ nói chung, tôi đang học cách trở thành người nắm giữ tất cả các ngành nghề. Thật không may, tôi có ít kinh nghiệm với mạng, nhưng tôi đang học và điều đó thật thú vị.

Tôi đã đọc trên mạng và tôi tin rằng tôi có một sự hiểu biết khá vững chắc về những gì đang xảy ra với mạng của chúng tôi. Tôi hiểu các nguyên tắc chuyển tiếp cổng và ý tưởng rằng bộ định tuyến có thể được sử dụng như một cách để chặn các kết nối đến các dịch vụ. Tôi cũng đã có máy chủ web dựa trên Nginx của chúng tôi và chạy, mặc dù tôi chưa tìm ra cách kết nối nó với Internet.

Ngoài ra, chúng tôi thực sự không có ngân sách cho thiết bị mới, vì vậy tôi đang làm với một loạt các thiết bị mạng gia đình mà chúng tôi đã đặt xung quanh. Nếu điều này là hoàn toàn không đủ, hãy cho tôi biết, nhưng tôi cho rằng nó sẽ hoạt động.

Đây là bản vẽ nhanh của thiết lập hiện tại:

current setup

Bắt đầu từ trên cùng, đường màu đen dày (đại diện cho kết nối dữ liệu tòa nhà, Comcast) được chia thành internet tại modem. Không có ethernet trong tường được thiết lập ở đây - doanh nghiệp của chúng tôi sử dụng wi-fi làm phương thức sử dụng internet. Vì vậy, bộ định tuyến wi-fi được kết nối trực tiếp với modem, vì đây là thiết bị duy nhất ở cấp cao nhất. Bộ định tuyến wi-fi phục vụ internet để sử dụng hàng ngày.

Mô tả vấn đề

Bảo vệ

Tôi đang cố gắng để máy chủ web được tách biệt an toàn với phần còn lại của mạng. Nếu máy chủ bị xâm nhập, thì tôi không muốn nó ảnh hưởng đến các máy tính mà chúng ta sử dụng cho công việc hàng ngày.

Hiệu quả

Tôi không muốn làm cho mạng "hàng ngày" bị chậm quá nhiều bằng cách thêm máy chủ. Tôi cũng không muốn máy chủ chạy rất chậm vì cách bố trí mạng.

Thiết lập

Địa chỉ IP, mặt nạ mạng con và kết nối trông như thế nào cho mỗi bộ định tuyến?

Các giải pháp

Solution A

Đây là giải pháp đầu tiên mà tôi nghĩ ra. Sử dụng một chuyển đổi nhóm làm việc, tôi muốn cung cấp cho cả hai vị trí cấp cao nhất của bộ định tuyến. Bộ định tuyến máy chủ sẽ chuyển tiếp cổng TCP 80 (http).

Nhược điểm:

  • Tôi không thể đi làm. Tôi cho rằng điều này là do cả hai bộ định tuyến đang cố gắng nhận cùng một IP công cộng được gán Comcast từ modem. Bằng cách nào đó, bộ định tuyến mạng doanh nghiệp sẽ hoạt động tốt trong thiết lập này, nhưng bộ định tuyến khác sẽ không gia hạn / giải phóng địa chỉ IP hoặc cung cấp kết nối internet bên ngoài (vì lý do lỗi DNS). Mặc dù tôi đã thử cung cấp cho mỗi bộ định tuyến các địa chỉ IP khác nhau (một 192.168.1.1, một 192.168.2.1), nhưng nó không giải quyết được vấn đề.

Ưu điểm:

  • An ninh tốt. Nếu máy chủ bị xâm nhập, nó không thể xâm nhập vào mạng doanh nghiệp. Tệ nhất, nó có thể đánh hơi lưu lượng truy cập từ bên ngoài, nhưng tôi không chắc liệu điều này có khả thi hay không.
  • Hiệu quả tốt. Mỗi mạng chỉ bị chậm bởi chuyển đổi nhóm làm việc.

Solution B

Đây là giải pháp tiếp theo tôi nghĩ ra. Đó là thiết lập theo kiểu DMZ cho phép máy chủ ở bên ngoài mạng doanh nghiệp nhưng vẫn phục vụ HTTP.

Nhược điểm:

  • Trong Giải pháp A, tôi có thể làm rối bộ định tuyến máy chủ và sẽ không có hậu quả cho việc kinh doanh hàng ngày. Nhưng trong phương pháp này, nếu tôi làm hỏng cấu hình của bộ định tuyến máy chủ, điều đó có nghĩa là rắc rối cho mọi người.
  • Hiệu quả kém. Mạng doanh nghiệp cần thông qua hai bộ định tuyến để truy cập Internet.
  • Bảo mật máy chủ kém. Nếu một trong các máy tính kinh doanh bị xâm nhập, nó có thể làm hỏng máy chủ.

Ưu điểm:

  • Kinh doanh an ninh mạng tốt. Máy chủ, nếu bị xâm nhập, không thể truy cập vào các máy tính khác.
  • Xử lý IP công khai chính xác. Giải pháp này sử dụng bộ định tuyến làm mục cấp cao nhất, có nghĩa là nó có thể sử dụng DHCP để gán địa chỉ IP mà công tắc mạng thiếu.

Solution C

Giải pháp này tương tự như giải pháp đầu tiên, nhưng bộ định tuyến được sử dụng thay vì công tắc để cung cấp xử lý IP thích hợp.

Nhược điểm:

  • Hiệu quả kém. Cả hai mạng phải đi qua 2 bộ định tuyến để có internet.

Ưu điểm:

  • An ninh tốt. Không mạng nào có thể trực tiếp đến mạng khác. Trong trường hợp xấu nhất, tôi cho rằng việc đánh hơi giao thông có thể xảy ra (không chắc chắn).
  • Xử lý IP công khai chính xác. Giải pháp này có một thiết bị cấp cao nhất có thể sử dụng DHCP để sắp xếp địa chỉ IP.

Dòng dưới cùng

Tôi không chắc giải pháp nào hoạt động tốt nhất. Có giải pháp nào tốt hơn mà tôi chưa nghĩ ra?

Tôi cũng không chắc chắn về cách thiết lập giải pháp tốt nhất để nó phục vụ internet đúng cách và an toàn cho mỗi mạng. Tôi cần làm gì với địa chỉ IP, cổng mở và mặt nạ mạng con cho mỗi bộ định tuyến?

Chú thích: Tôi biết Server Fault có dung sai thấp cho các câu hỏi sử dụng phần cứng mạng gia đình. Đó thực sự là lý do duy nhất tôi đăng ở đây - Tôi muốn câu hỏi của mình được trả lời và tôi không muốn chơi chính trị. Nếu đây là trang web sai, tôi sẽ đánh giá cao nếu bạn có thể di chuyển nó đến đúng vị trí. Cảm ơn.


1
Thành thật mà nói, đó là mạng của tôi, làm việc với ngân sách thấp mà tôi đã phải làm nhiều lần tôi sẽ tìm cách chạy PC hoạt động như một tường lửa. Lấy một PC cũ và đảm bảo rằng bạn bật một Card mạng khác (đối với DMZ phù hợp, bạn cần có ba NIC) cài đặt pfSense hoặc một cái gì đó tương tự, sau đó kết nối với Modem và chuyển qua IP bên ngoài tới NIC bên ngoài pfSense, một để Máy chủ cho DMZ và một cho Mạng của bạn. Sau đó, bạn có thể sửa đổi cài đặt Bộ định tuyến thành WiFi AP và bảo mật mạng đúng cách.
CharlesH

Câu trả lời:


1

Đi theo 3 lựa chọn được cung cấp của bạn, B là lựa chọn tốt nhất (IMO), vì nó giữ máy chủ trên mạng vành đai và bộ định tuyến bên trong bảo vệ mạng doanh nghiệp nội bộ của bạn từ mạng vành đai (để máy chủ không thể truy cập mạng doanh nghiệp ), trong khi sử dụng ít thiết bị nhất.

Câu trả lời "thực" (một lần nữa, IMO):

  • Nhận một bộ định tuyến hỗ trợ thích hợp khu phi quân sự ( DMZ ).
  • Đặt máy chủ vào DMZ.
  • Đảm bảo các tuyến tồn tại giữa LAN và DMZ, và WAN và DMZ.
  • Lợi nhuận.

Cảm ơn câu trả lời. Tôi nghĩ rằng tại thời điểm này, tôi sẽ đi với B, với mục tiêu có được phần cứng tốt hơn trong tương lai. Có điều gì đặc biệt mà tôi cần phải làm với các địa chỉ IP và mặt nạ mạng con của 2 bộ định tuyến trong B không? Họ có cần phải khác biệt? Ngoài ra, C vẫn là một giải pháp an toàn và nó có khắc phục vấn đề trong A một cách chính xác không? Cảm ơn.
Blue Ice

Chỉ có lời cảnh báo trong B mà tôi có thể cung cấp là nếu Modem đi qua IP bên ngoài (hoặc ngay cả khi nó không trung thực) đảm bảo bạn không bị 'Double NAT' bắt gặp vì điều này có thể gây ra tất cả các loại những vấn đề kỳ lạ ...
CharlesH

@CharlesH Bạn có thể giải thích ý của bạn về "Double NAT" không? Cảm ơn
Blue Ice

@Blue Ice có hiệu quả NAT là phương pháp dịch IP bên ngoài sang dải IP bên trong. Tuy nhiên, nếu bạn có hai hoặc nhiều thiết bị cố gắng thực hiện NAT thì mỗi người trong số họ tin rằng họ phải thực hiện dịch mạng từ một địa chỉ IP sang phạm vi 'nội bộ' của nó. Đây là một chủ đề khá sâu, thực sự là bất kỳ thiết bị nào đang đối mặt với IP bên trong (như 192.x.x.x) đang hoạt động NAT nên vô hiệu hóa trên (các) thiết bị khác
CharlesH

@CharlesH Gotcha. Cảm ơn vì tiền hỗ trợ.
Blue Ice
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.