[Ask] Đánh giá sơ đồ mạng

[ductri]

SW core nên đặt sau Firewall mà kết nối tới modem (vigor), từ Firewall này có thể chia thành các vùng khác nhau (DMZ, LAN ,...) thì sẽ hợp lý hơn, tận dụng được khả năng xử lý của SW core, đồng thời giữa internal và external có một firewall tránh được khá nhiều nguy cơ từ external, và nên chọn 1 loại firewall UTM ( Checkpoint,Fortinet,Juniper hoặc Cisco...) , không cần thiết phải 2 firewall tách rời như thế này, nếu có điều kiện làm 1 cặp FW giống nhau chạy HA còn ổn định hơn mô hình này, có một vài lời nhận xét, mời AE cứ chém

[khampha02]

Chào các bạn,
Hiện tại sơ đồ hệ thống của mình có khoảng 500 máy. Mình định triển khai như thế này, mong các bạn cho ý kiến.
[ASK]: Theo bạn thì đặt con Juniper firewall sau con Network Load Balancing trước khi vào Switch Core VS đặt trước Vlan External Server (như trong hình), cái nào tốt hơn?

Mô hình này thường thấy ở các công ty đặt biệt có các úng dụng quản lý trên internet.
Về mặt kết nối thấy 2 đường truyền backup như vây chưa ổn. Để triển khai bạn phải thuê internet leased line vì 2 lý do : một là bạn cần một đường truyền tốc độ cao, ổn định lúc đấy có các lớp địa chỉ ip trỏ vào các cầu úng dụng của công ty như web, mail... lý do thứ 2 dùng FTTH khi bị đứt đường truyền làm sao tự động trỏ tên miền về địa chỉ mới. Để an toàn cho hệ thống bạn có thể yêu cầu nhà cung cấp dịch vụ triển khai thêm đường back up
Về mạng LAN rỏ ràng việc đặt 2 firewall như vậy hiệu suất mạng sẽ xuống rất thấp và tốn kém. mặt khác mô hình như vậy tại vùng vlan public sẽ không được kiểm soát sẽ gây ra nghẽn mạng. Bạn chỉ nên dùng một firewall đặt ở bên ngoài.

[mrtrild]

Hi,

Thông thường ở 1 hệ thống lớn thì người ta hay có những thiết bị chuyên dụng riêng cho từng vùng. Với con Netscreen 50 của bạn thì khá nhỏ nên không thể đặt phía sau Vigor3300 được, nó sẽ gây ra tình trạng ngẽn cổ chai. Bạn nên dùng 1 cặp Firewall tương đối lớn chạy HA thay chổ con Switch core để bảo vệ được tất cả các vùng. Core switch bạn nên chuyển vào vùng user của bạn để đảm bảo switching nhanh trong LAN. Về ISA và Netscreen bạn có thể bổ sung thêm cho các vùng mang tính bảo mật cao. Hệ thông công ty mình đang dùng cặp checkpoint cho toàn mạng, cặp ASA cho vùng dữ liệu, cặp F5 cho vùng ứng dụng, các cặp switch layer 3, serial 4503 cho vùng users. Cỏn các vùng khác cặp checkpoint gánh luôn. hihi

[thanhnam0707]

Bạn Lê Đức trí này làm ở công ty nào mà xài hàng khủng không vậy .

Nếu ko có kinh phí đầu tư thiết bị như bạn Lê Đức trí thì có thể nâng cấp bản ISA 2006 lên Forefont sẽ có tính năng UTM đó bạn.

[mrtrild]

Bạn Lê Đức trí này làm ở công ty nào mà xài hàng khủng không vậy .

Nếu ko có kinh phí đầu tư thiết bị như bạn Lê Đức trí thì có thể nâng cấp bản ISA 2006 lên Forefont sẽ có tính năng UTM đó bạn.

Hi bạn,

Mình là lính đặc nhiệm, hiện đang tham chiến tại chiến trường Cathay Life của Taiwan.

Hy vọng được học hỏi các bạn nhiều hơn

Cheers!