新しいネットワーク構成にセキュリティスキームを実装したい。クライアントには2つの建物があります。
Office Building 1(OB1) with address 10.0.0./255.255.255.0、Gateway 10.0.0.1(Router1 Zyxel)。 OB1には、OB1のユーザーがすでに参加しているドメインコントローラー(10.0.0.250)もインストールされます。
Office Building 2(OB2) with address 10.0.1./255.255.255.0、Gateway 10.0.1.167(内部アドレス(lan)としてインストール) aファイアウォール)ファイアウォールwan1デバイスにはアドレス192.168.5.199があり、192.168.5.2をRouter2(Zyxel)アドレスとして使用します。
Router1OB1のユーザーにインターネットアクセスを提供しますRouter2OB2のユーザーにインターネットアクセスを提供します。 OB2でファイアウォールは10.0.1.ネットワークの保護とWebフィルタリングを設定しました両方の建物は[〜#〜] vpn [〜#〜]Router1とRouter2の間に実装されて接続されています。
私が知りたいのですが:
私はここから離れているかもしれませんが、1つの建物にドメインコントローラがあり、もう1つの建物にファイアウォールがある場合は、OB1のトラフィックをVPN経由でゲートウェイ(10.0.1.167)にルーティングするように設定しないでください。実際に多くのガイダンスを提供するのに十分な情報がありません。私の質問は、VPNはどのように実装されていますか?すべてのトラフィックをVPN経由でルーティングして、Webフィルターを通過できるようにすると、帯域幅に大きな影響を与えますか?建物の1つがオフラインになった場合、他の建物にどのような影響がありますか?要するに、それは実行可能に聞こえますが、それは長期的には最善の解決策になるでしょうか?
あなたの質問から私が理解したのはこれです。
OB1 ----------------------> Xyxelルーター1
OB2 ------> firewall --------> Xyxel router 2
ルーター1とルーター2には、相互接続のためのVPNがあります。各ルーターには個別のインターネット接続があります。
この情報を使用して、特定のことを考慮に入れる必要があります。
1。ファイアウォールデバイスは複数のインターネット接続をサポートしていますか
2。そうでない場合は、両方のオフィスで1つの接続で十分です。次に、他の単一障害点があるかもしれないが、単一障害点(ISP接続)についてはどうでしょうか。
これをお勧めします。1. office1とoffice2間のVPN接続をファイアウォールに変更し、ルーター1からルーター1に変更する必要があります。
2。 office1のインターネット接続を無効にします。
3。ファイアウォールを介してデータを転送するためにルーター1に追加されたデフォルトルート。 4.ファイアウォールルールを追加して、UDP 53、88、135などのポートを許可します。TCP 389、53、135、138、139、445、3268、3269、464の間でこれらのサブネット
これを設定する別の方法は
1。 xyxelルーター2を現在のファイアウォールの代わりにファイアウォールデバイスの背後に配置します。
2。ルーター1でインターネットを無効にし、デフォルトルートを追加して、パケットをルーター2に転送します。これにより、ファイアウォール経由でインターネットにバインドされたデータがインターネットに転送され、追加のインターフェースは必要ありません。
すべては、使用できるハードウェアのタイプによって異なります。
これに対する単純な答えはただノーです。
すべてのトラフィックを単一のファイアウォールを経由して単一の物理ポイントでルーティングする必要があります。
あなたができることの一つは:
OB1> ---(10.0.0.0)--- ISP-> VPN>-(10.0.1.0/24(FW)上のインターネットへのゲートウェイ> --- OB2> ---(10.0.1.0)- > FW>-> 0.0.0.0/0
しかし、インターネット帯域幅の半分を失うことになります。