为相当基本的问题道歉。我们是一家快速发展的企业(12 名员工,大致计划在未来两年内翻一番)
我们的部分工作涉及与我们的客户网络的直接连接。通常我们通过 VPN 来做到这一点。
一个比平常更大的新客户要求提供有关我们的防火墙和配置的大量信息,并且似乎想要设置站点到站点 VPN。
我们在租用线路上使用优质路由器运行良好已经有一段时间了。我们打开某些端口(例如 web、VPN)并在内部将它们转发到适当的 IP 地址。
我们也搬到了一个新办公室,并试图在那里做得更好/更好。
除了上面的,我们应该有一个硬件防火墙吗?与只打开某些端口的路由器相比有什么优势?
像 SonicWall SOHO 这样的基本防火墙似乎是要走的路。如果我们买了这个,它会位于路由器和网络的其余部分之间吗?我们只是让路由器上的所有东西都打开以允许防火墙管理连接?并且它仍然允许我们将正确的端口路由到他们需要去的地方?
我们可能需要聘请一些专家,但我们在内部拥有丰富的网络经验,但在这方面没有。所以希望我们可以自己处理一下。
感谢任何帮助。
谢谢,
詹姆士
虽然产品推荐与本论坛无关,但防火墙应该放置在路由器和网络的其余部分之间是正确的。最大的变化是现在所有 PC 的默认网关将指向防火墙而不是路由器。同样,路由器现在指向防火墙而不是内部网络
对于那些可从外部访问的设备,良好的做法是将它们放在单独的网络(称为 DMZ)和防火墙上的单独接口上。您应该只允许必要的端口从外部进入 DMZ。
要实施站点到站点 VPN,硬件路由器使事情变得容易得多。您还想限制来自 VPN 隧道的入站流量。
只需检查 SonicWall 的订阅模型。我听说它可能相当不吸引人。
您是这家快速发展的公司 IT 部门的一员吗?如果没有,我会将这项工作外包给一家拥有体面代表的公司,或者这里有用户可以为您提供咨询。不幸的是,在安全方面,您只需犯错一次,就会让您的肩膀感到头疼。
关于路由器与防火墙,如今的防火墙设备结合了路由器功能,这使得专用路由器过时了。您确实需要一些设备来连接 WAN 线路,最好是调制解调器(xDSL、光纤等)。
通常,您的 ISP 提供此访问设备,如果它是路由器,则应将其配置为允许流量进出而无需任何监管;这取决于防火墙。
对于站点到站点 VPN,终止 VPN 网关需要公共 IP 地址。调制解调器只是移交流量,因此它不会为自己“使用”WAN IP 地址;路由器可以,你必须注意你的防火墙也有一个(第二个)。
如果您在寻找防火墙,还要考虑内容安全性 - 防病毒、IPS 等。供应商对此的处理方式不同。SSL 检查是另一个主题,因为大多数恶意软件来自加密流量(邮件、浏览)。此时您会注意到,可能需要经验丰富的专业人士的建议。