Come configurare un firewall interno

Naviga le tue risposte
1

Spero di avere qualche consiglio su un progetto a cui sono stato chiesto di badare al lavoro. Faccio tutto il IT per una piccola azienda che fa parte di una grande azienda. Dobbiamo impedire l'accesso a determinati siti Web per il nostro piccolo gruppo, quindi in pratica ho bisogno di configurare un firewall all'interno dell'infrastruttura della società più grande.

La società più grande sta per impostare una VLAN separata per noi, tuttavia, non vogliono utilizzare le proprie apparecchiature firewall per eseguire il filtraggio effettivo, motivo per cui ho bisogno di impostare il filtro da solo. Ho un server di riserva a mia disposizione, quindi spero di farlo con un software (preferibilmente basato su Linux poiché di solito è economico / gratuito e sto abbastanza bene con Linux), invece di un dispositivo hardware, se possibile. Sono convinto che fondamentalmente ciò di cui ho bisogno è un firewall che fungerà da gateway tra il nostro piccolo gruppo e il firewall della società che porterà a Internet. Spero anche di utilizzare ancora il server DHCP della società più grande per servire i nostri indirizzi IP (se è possibile passare attraverso il firewall). Infine, dovrò essere in grado di filtrare i siti Web in base all'indirizzo MAC che sta tentando di accedere al sito Web.

Se qualcuno può offrire consigli su quale software firewall sarebbe meglio usare in questo scenario sarebbe molto apprezzato. Inoltre, sto cercando consigli sul modo migliore per strutturare la rete ... dovremmo continuare ad usare il loro DHCP, se dovessimo configurarne uno, se usassimo il nostro server DHCP, come impedirgli di servire l'indirizzo ad altri utenti? su altre VLAN? Sono abbastanza onesto con le cose in rete, non ho mai lavorato in un ambiente con VLAN (conosco i concetti di base sulle VLAN, ma questo è tutto).

Grazie in anticipo per qualsiasi aiuto, Harry

    
posta Harry Muscle 15.07.2012 - 07:52
fonte

3 risposte

3

Per prima cosa rispondi alla domanda di DHCP. Il DHCP funziona inviando una trasmissione su una rete, il che significa che se il server DHCP può ascoltare la trasmissione di un client (DHCP Discovery), il client e il server possono negoziare un indirizzo IP.

Nel tuo caso, sarai seduto su un'altra VLAN dal server DHCP, quindi in modo efficace una sottorete separata. Con questo in mente, se la tua sottorete è 192.168.1.0/24 e il server DHCP delle società si trova su 192.168.2.0/24, il tuo client non sarà in grado di comunicare con il server DHCP utilizzando la trasmissione di rete. Ciò significa che in modo realistico sei libero di configurare un server DHCP per servire l'intervallo di indirizzi IP appropriato senza successivamente trasmettere al resto della rete.

Ora è possibile impostare un relay DHCP sul router che passerà il traffico DHCP tra i client e il server DHCP della società più grande, se lo desideri, questa è davvero una decisione per te su come vuoi gestire gli indirizzi IP sulla tua rete.

Per quanto riguarda la scelta del firewall, la mia preferenza è optare per l'opzione proxy iptables e squid Linux. È possibile inoltrare il traffico Web in modo trasparente a un proxy Squid, ciò è possibile utilizzando iptables:

link

In secondo luogo, si desidera filtrare per indirizzo mac. Squid supporta questo con ACL:

link

    
risposta data 15.07.2012 - 12:05
fonte
1

Quello che puoi fare, è acquistare un router hardware e usare il firewall software, se lo vuoi davvero. Funziona abbastanza bene. Se vuoi risparmiare, puoi usare un router economico da 10GBps (ma meglio con una tabella ARP di almeno 1024 voci). Il fatto è che la tua azienda crescerà nel tempo e avrai bisogno di un numero sempre maggiore di dati per passare da un dispositivo all'altro, potrebbe essere necessario suddividerli anche su diverse vlan.

Il firewall funge solo da gateway Internet, quindi è fino a 1GBps. Ti serve una macchina di ultima generazione per gestire l'inoltro da 1 Gbps usando Linux (come la macchina pre-dual core @ 3GHz fa solo 200MBps).

Inseguito,puoieseguirel'upgradeinquestomodo:

Oggi switch con uplink da 10 GBps e chassis virtuale è un requisito minimo. È disponibile quasi da tutti i fornitori tranne quelli più economici come Dell (hanno stacking, ma non è un telaio virtuale, ed è comunque losco).

Puoi aggiornare Vyatta anche a cluster, usando la modalità HA.

Inognicaso,siconsigliadiutilizzareilfirewallhardware.Lesoluzionisoftwaresonoutiliprincipalmenteperilcloud.Vyattasarebbeun'eccezioneperchéhacaratteristichedisoluzionihardware,comel'interfacciadiconfigurazionetramiterigadicomando,sesiimpostatuttodallasingolainterfacciaunificata.C'èancheSQUID.Snortèstatodeprecatoperchéstavarallentando,tuttaviaquestoèancheunpo'necessariosesieseguonoservizidiconnessioneaInternet.

IlruoloprincipalediVyattaèdifornireforwarding,statefulpacketinspectioneNAToltrecheproxyweb.Sehaibisognodiscansionedellapostaealtrefunzionalità,puoiconfiguraremacchinevirtualiconSpamAssassin,puoiancheconfigurarelamacchinaconSnort,manonimpacchettaretuttosuunapiccolaunità.Anchequestogarantiscesicurezza,fallisceinterminidistabilitàeprestazioni.

Inoltre,quandoacquistihardwareperfirewall,assicuraticheabbiaunaretePCIeeintegratadirettamenteconnessaallaCPUenonattraversounaltrochip.IlsistemabasatosubridgeIntel-bridgeèminimo,èlostessodelleschedededicateconaccelerazione,ecc.,Chenonfunzionanoesattamentecomequestoconqualsiasifirewallsoftware,quindisesidesiderautilizzareilpropriofirewall,ènecessarioassicurarsichecorrispondaalleprestazionidialtro"hardware", che è il più delle volte un software, con un'architettura diversa dal tipico PC.

... quindi anche un singolo core, una macchina a bassa potenza gestirà anche 10GBps senza problemi, poiché il sovraccarico è molto limitato. Raccomandata è la scheda Intel perché ha driver molto buoni. Potresti aver bisogno anche di accordarli un po 'se fai molte connessioni ad alta velocità (per abilitare gli RSS e aumentare i buffer).

    
risposta data 15.07.2012 - 11:42
fonte
1

Se limitare l'accesso a determinati siti Web è tutto ciò che stai cercando, sembra che tu voglia un server proxy e non un firewall.

Potresti provare a configurare iptables in linux se vuoi un firewall.

    
risposta data 15.07.2012 - 07:56
fonte

Leggi altre domande sui tag

Protezione dei caratteri personalizzata? Ulteriori informazioni sulla vulnerabilità CVE-2012-0883