POPPUR爱换

标题: 公司的路由选择。犹豫中，求助。 [打印本页]

作者: wqaiwy 时间: 2011-4-12 19:05
提示: 作者被禁止或删除内容自动屏蔽

作者: wzywzy74 时间: 2011-4-12 20:02
本帖最后由 wzywzy74 于 2011-4-12 20:09 编辑

对JUNIPER不熟只能从理论上说了 erp和oa服务器移到内网可以用在防火墙上做端口映射用外网ip一样可以访问(还有一定的防攻击效果) 就是要查出这两个服务器用了哪几个端口一对一nat不要做一是没必要二是做了的话除了被nat的那一个服务器其他电脑上不了网(在只有一个外网ip的情况下)
也可以用防火墙搭个vpn 外部用户拨进来访问erp和oa 不过这样做有点麻烦如果外部用户用策略路由进行目的指向还好说万一没有的话...pc拨号进来默认情况下外部用户的所有流量都要经过你的光纤出去（像浏览网页迅雷....）后果嘛{titter:]
JUNIPER 防火墙很强大继续用

作者: 灰大狼 时间: 2011-4-12 20:09
不懂，ERP和OA放外网做什么？？
做VPN，一般外网需要访问了才用VPN进来访问。

作者: wqaiwy 时间: 2011-4-12 21:25
提示: 作者被禁止或删除内容自动屏蔽

作者: wqaiwy 时间: 2011-4-12 21:26
提示: 作者被禁止或删除内容自动屏蔽

作者: wqaiwy 时间: 2011-4-12 21:27
提示: 作者被禁止或删除内容自动屏蔽

作者: wqaiwy 时间: 2011-4-12 21:28
提示: 作者被禁止或删除内容自动屏蔽

作者: 灰大狼 时间: 2011-4-13 08:05

wqaiwy 发表于 2011-4-12 21:28
貌似也不是很需要做VPN对不。。
端口映射貌似就要用域名解析访问内网里的服务器了吧（内网的服务器肯定是内 ...

嗯，端口映射改动最小。如果登陆器是用域名访问的，就要DNS，如果是IP访问的，就不需要

作者: wqaiwy 时间: 2011-4-13 10:41
提示: 作者被禁止或删除内容自动屏蔽

作者: wqaiwy 时间: 2011-4-13 10:44
提示: 作者被禁止或删除内容自动屏蔽

作者: ghostja 时间: 2011-4-13 10:49
放在路由后面做端口映射的效果和在服务器上开白名单防火墙一样嘛。那你还不如在服务器上直接开白名单防火墙

作者: 是不是真的 时间: 2011-4-14 00:35
把你的R478放到线路A上去.让他们上网去.设置一下流量控制.

把.SSG140放在线路B上.两台服务器放在内网,140上只做OA和ERP上要用的那几个端口的映射..同时找给你们做OA和ERP的人给你们把服务器和软件的安全做好.另一种就是利用SSG140的.IPS签名包的功能.这样就一定程度上会安全很多.最重要的,你还要多在OA和EPR服务器上看看日志还有SSG140的日志看看.

再怎么说.SSG140是一个企业安全接入网关. 就是为了企业网络安全的.最重要的OA和ERP不用这个.用R478来做接入.呵呵..

作者: wqaiwy 时间: 2011-4-14 08:31
提示: 作者被禁止或删除内容自动屏蔽

作者: wqaiwy 时间: 2011-4-14 08:32
提示: 作者被禁止或删除内容自动屏蔽

作者: yaoshu 时间: 2011-4-14 08:37
楼主还没纠结好啊....

作者: wqaiwy 时间: 2011-4-14 09:14
提示: 作者被禁止或删除内容自动屏蔽

作者: 是不是真的 时间: 2011-4-14 19:36
100台.R478够用啦.不行你就去网上买个235P硬改285P的嘛.那个说是带100-150没有问题.主要是QOS费CPU嘛..

那就只能自己按着网上一些文章来设置一下服务器安全了.这个我也不是太在行.

你多看看140的说明书.或是去他们坛子上找找.140功能很强大的.

作者: wqaiwy 时间: 2011-4-14 22:48
提示: 作者被禁止或删除内容自动屏蔽

作者: 是不是真的 时间: 2011-4-14 23:01
不过也是.公司上不了网总是维护的问题...

祝你早日搞定140.

作者: wqaiwy 时间: 2011-4-15 09:21
提示: 作者被禁止或删除内容自动屏蔽

作者: 大书法家和 时间: 2011-4-15 09:30
我要好好学习了

作者: wqaiwy 时间: 2011-4-16 10:26
提示: 作者被禁止或删除内容自动屏蔽

作者: 1yanmin1 时间: 2011-4-16 10:41
其实你需要的是一个防火墙，而并非一个路由器在前面

作者: 1yanmin1 时间: 2011-4-16 10:46
最佳的做法是2条线路在接入防火墙，然后防火墙上为服务器做映射，开放需要发布的端口及访问列表。至于是否开放员工vpn，防火墙一样可以做到。现在推荐用ssl vpn，因为员工出差中外面的时候，很多酒店的端口有限制，ipsec vpn 或者pptp vpn会连接不上。

从你的描述中发现，你们公司的网络规划之前没有好好计划过，现在人数变多发展了，该做下to be的事情了，预留好足够的发展空间

作者: wqaiwy 时间: 2011-4-16 21:59
提示: 作者被禁止或删除内容自动屏蔽

作者: johngoo 时间: 2011-4-18 16:42
本帖最后由 johngoo 于 2011-4-18 16:43 编辑

Fortigate几年前的防火墙就能满足楼主要求，价格也不贵，就几万的样子，主要是设置界面非常的简单明了，说明书都不用多看

服务器经常做备份是主要的，另外，ERP和OA的服务器如果要经常连接外部门店或者仓库的数据的话，24楼是唯一合适的选择。

一般公司不会把ERP服务器放置在外网，估计楼主的公司也是服务性质的公司，每天有大量的营业数据上传到服务器

作者: wqaiwy 时间: 2011-4-19 10:11
提示: 作者被禁止或删除内容自动屏蔽

作者: wyn5201314 时间: 2011-4-19 10:59
楼主你好，你的讯景9600GSO 换的什么散热效果如何啊我的待机76° 我心里不踏实啊

作者: wqaiwy 时间: 2011-4-19 11:44
提示: 作者被禁止或删除内容自动屏蔽

作者: johngoo 时间: 2011-4-19 11:50
回复 wqaiwy 的帖子

几万的硬件防火墙只是起步价啊

不选飞塔的，选别的也行，价格也能控制在1万以内，型号我再看看，反正飞塔的我玩过，比较顺手的说~呵呵

作者: clawhammer 时间: 2011-4-19 13:03
本帖最后由 clawhammer 于 2011-4-19 13:04 编辑

你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去，浪费带宽，需要在客户机上设置路由

作者: 太虚公 时间: 2011-4-23 09:47

clawhammer 发表于 2011-4-19 13:03
你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去， ...

这个很困难大范围的门店接入没法维护客户端的路由的门店的机器缺乏基本维护也不可能总部统一维护出故障了就是就近找人修了没法做标准化的

（以上结论是基于楼主表达出来的老板对IT资金的态度）

大量的ERP实施是通过纯软件的VDI甚至RDP来实现的，小弟最近在给一个有150家门店的服装企业做相关的项目，在考量了客户的投资额度之后还是选择了暂时维持对方的RDP接入方式，只是将服务器端和客户端分离；待以后再将接入方式改为VPN，在服务器端做路由和策略，禁止通过VPN的所有internet访问，此举还可减少门店客户端计算机上网，降低故障率。

作者: 1yanmin1 时间: 2011-4-23 23:59
采用RDP的方式用在实际环境里，后续维护工作实在后患无穷啊。而且这个漏洞实在是大的没边了。实在资金有限，前面用ISA 2006做个PPTP VPN，然后在RDP到ERP服务器也行啊。isa2006的投入几乎为0，我在一家半导体晶圆制造企业里，曾用一台DELL的小PC，稳定运行ISA2004已经5年多了。至今仍在使用。连硬盘都没有换过。只记得CPU是P4 3.0G。

作者: 1yanmin1 时间: 2011-4-24 00:12

clawhammer 发表于 2011-4-19 13:03
你架个l2tp ipsec vpn服务器，在外的拨进来，不要把服务器放公网

要注意的是需要禁止VPN流量走NAT出去， ...

这样做太麻烦了，正确的做法是VPN上阻止VPN用户访问0.0.0.0的访问列表。这样客户端在拨入VPN之后，外网会不通，如果需要上外网，就断开VPN。至于拨入VPN之后仍有上外网的需求，当然还有一种做法就是在客户端上取消【在远程网络上使用默认网关】。这样DNS可能会有问题，需要添加hosts文件。这种做法可以逐步执行或者统一执行。因为需求是满足客户与总部联系，至于是否拨入VPN后仍可以访问0.0.0.0可以作为后续工作执行。

欢迎光临 POPPUR爱换 (https://we.poppur.com/)