» Как организовать защиту внутренней сети с выходом в инет?

alexandr bit
Причины могут быть самые разные, например если совсем незнаешь линух, то лучше (для безопасности) настраивать все в виндах
Чем не причина?
Плохо настроенный линух хуже, чем хорошо настроенная винда вряд ли стоит с этим спорить.
Может его гейтвей, как рабочая станция используется, для бухгалтера например (кто знает сколько денег у предприятия?)

Часто еще гейтвей это еще и рабочая машина админа, а админ по совместительству еще и вебдизайнер и реклама на нем (только не говорите мне про гимп,а кто пробовал работать в фотошопе под юнихом?)

Да мало ли какие причины могут быть!

Прошу прощения если не в тему,но очень схожая проблема.
Есть сеть с доменом на Win 200 srv . все клиенты win XP prof (26 машин)
ЭТО магазин(5) + офис(12) + бухгалтерия(5) + директора(4)
Есть инет (дуалап). Руководство напуганое вирусами и похищением информации из инета, приняло решение перенести инет на отдельную машину, это жутко неудобно.
Посоветуйте мне что можно сделать и какую топологию сети выбрать (использовать програмамы)
Инет только на машинах в офисе и у директоров. Производися подсчет и управление трафиком пользователей, самое главное. Доступ к машинам с важной информацией из Инета не возможен. при чем машины остаются в одной физической сети.

valdi77

Цитата:

Доступ к машинам с важной информацией из Инета не возможен. при чем машины остаются в одной физической сети.

Одно противоречит другому по определению. Если суметь пробраться на шлюз, то можно будет иметь доступ к любой машине во внутренней сети.

valdi77
твой вопрос уже содержит ответ
Цитата:

Инет только на машинах в офисе и у директоров. ... Доступ к машинам с важной информацией из Инета не возможен. при чем машины остаются в одной физической сети.

а если подробно, то:

1. Отдельный комп для раздачи интернета - это роутер.
Смотрит одним интерфейсом в интернет, другим - в локальную сеть.
Тут даже хорошо, что он и сервер - две разные машины.

2. Софт роутера: win2000/2003 server (+ программный роутер) / unix / linux - решай сам.
В принципе, для win можно настроить раздачу интернета штатными средствами, но так контроль меньше, поэтому лучше доп. софт (Winroute/KerioWF/Usergate и пр.)
У меня работает связка win2k + Kerio Winroute Firewall на Celeron 333
Раздавай интернет кому надо. Остальным можешь вообще запретить заходить на роутер.

3. На основном сервере и клиентах - ставь файерволы.
Клиентские файры тем хороши, что не позволяют троянам и пр. гадости внутри локальной сетки бегать.
Настройки - самые жесткие.
Особое внимание настройке файров на машинах с "секретной" информацией.

4. Если у вас dial-up, то атак извне даже не ждите (через слабый канал ломать не интересно)
Поэтому следует уделить внимание антивирусной политике.
Вирусы ловим вне зависимости от топологии сети антивирусами.
В твоем случае - лучше корпоративный типа NAV/SAV:
На основном серваке - серверная часть, а клиенты берут с нее свои базы и отчитываются о пойманных вирусах.

фух... устал
но

Добавлено
забыл:

на роутере, естественно, должен быть
NAT, HTTP proxy, запрет incoming connection из интернета.

а вот DHCP, imho, лучше на основном сервере поднять...

miasnikov andrew.
Спасибо за советы, возникли вопросы.
Есть машина Pentium 133 Mhz озу 48 mb можно использовать в качестве роутера?
Програмное обеспечение на роутере ОС - win98, прокси сервер-Winroute, фаервол Outpost, антивирус -Nav
какие фаерволы на локальные машины?

Цитата:

Есть машина Pentium 133 Mhz озу 48 mb можно использовать в качестве роутера?
Програмное обеспечение на роутере ОС - win98, прокси сервер-Winroute, фаервол Outpost, антивирус -Nav

imho (я не спец по взлому), win98 более уязвим и менее стабилен, чем win2k (особенно 2k server). я вообще имел негативный опыт общения с 98м - так и перешел с 95 на 2к
В то же время, у тебя риск атаки извне минимальный (гораздо серьезнее надо быть тем, у кого статический IP на широком канале или районная локалка )
А значит, если машину трогать никто не будет, то "опрокидываться" ей не с чего.
Хотя сейчас Pentium2/Celeron около 500MHz под windows2000 копейки стоит.

В принципе, WRP имеет функцию пакетного фильтра (т.е. файервол). Поэтому Outpost - это "на сладкое". Если хочется новенького - посмотри Kerio Winroute Firewall (это тот же winroute, но 5й). Там более наглядно отражена именно файервольная часть.

NAV, повторюсь, крайне желательно иметь корпоративный - а то с обновлением замучаешься

Цитата:

фаерволы на локальные машины?

Ты же сам написал про Outpost (учти, за язык никто не тянул )
если серьезно, то смотри топики:
Лучший файервол
Настройки персональных файерволов
если интересно imho - у меня Sygate