我是一名开发人员,但因为我是所有 IT 方面的“专家”,所以我发现自己不时在我妻子的办公室帮忙……但我正在推动我的网络知识这里很少,所以我希望这里有人可以帮助我。
情况(正如我最近发现的那样!)是他们在他们的办公室托管了一个网站(通过一个固定 IP 公开访问,该 IP 在他们简单的 Netgear Wifi AcessPoint/Router 上通过端口转发(80 和 443)到他们的服务器) . 该服务器保存公司的一切 - 他们的数据库、文档等。网站和内部用户使用内部 Windows 应用程序访问数据库。数据库拥有相当私密的数据。当我发现他们这样做时,我建议他们将网站移动到另一台服务器(他们有一个备用服务器),并将公共访问与他们的主服务器分开。主服务器运行 Win2k3 SBS,我设置的网络服务器运行 Win2k3 网络版。
我想做的是将网络服务器放在不同的子网上(比如 192.168.10.x 而不是 192.168.0.x),然后让路由器将 80 和 443 转发到该子网上。然后多主服务器,这样它也可以看到另一个子网。但是路由器无法转发到不同的子网,所以我有点卡住了,没有网络知识。顺便说一下,路由器正在做 DHCP。
有没有办法使用 RRAS 配置这种东西?还是我在为失败的事业而战?我是否应该说服他们购买更好的路由器(必须便宜!- 他们是一家小公司,而且我可以想象设置)。或者,如果正确配置了某种防火墙软件,将网络服务器保持在同一子网上是否可以?
非常感谢任何帮助和指导。
公共可用服务应始终与内部 LAN(及以上)分开。
我会说服他们购买具有 3 个接口(或两个接口+vlan+一个交换机)的廉价防火墙。我知道 Linksys 有一些非常便宜的商业防火墙,可以完美地满足他们的需求。
编辑:到上面的海报;相同的 IP 子网但不同的 VLAN?那是不可能的。
我认为您正在(或可能)不必要地担心。毕竟,如果您设置了 SBS 服务器,您会发现它(打算)可从 Internet 获得,以便 Outlook Web Access 和远程工作网站正常工作。数以百万计的 SBS 安装似乎并不预示着服务器被黑的浪潮。
如果您只是转发端口 80 和 443,您将不得不努力引入任何严重的安全问题。我想下一个红色代码病毒会出现并允许某人破解服务器的风险,但在我看来,这几天的风险很小。
如果您认为 Web 的东西会消耗资源,这是不太可能的,因为它们是一家小公司,您可以将 Web 服务器放入并将其保持在同一个子网中。只需更改端口转发。不过真的值得吗?
JR
您可以将它们放在同一个子网上并使用 VLAN。
Fortigate 制作了一个非常简单的防火墙/路由器,它允许两个内部网络和一个外部网络。有些型号也有 WiFi。它们不是最便宜的,但可靠且功能齐全。
您将能够将其配置为支持 DHCP 等,并且它将保护您的网络服务器在 DMZ 中,允许具有不同安全级别的内部和外部用户访问。
你不需要多主服务器,它只是像以前一样在内部连接。
也可能是开始讨论备份的好时机。
Mikrotik RB450 ( http://routerboard.com/comparison.html ) 将处理网络分段、防火墙、提供 NAT 功能等。你应该能够以 100 美元左右的价格获得它,如果你想要具有千兆位能力的 RB450G,则需要 130 美元.