میشه حالا لطف کنین و بگین اگه RADIUS Server را راه اندازی نکنیم نمیشه ؟؟؟
چه فوایدی داره ؟؟؟؟
اگه آیزا تنها باشه نمیشه ؟؟؟؟
درضمن واقعا بغیر از آیزا راهکار دیگه ای نیست واسه جداکردن اینترنت از بستر شبکه اداری ؟؟؟؟ بخشنامه ای که تو پست اول نوشتم برای کسانی که توی ادارات دولتی اومده به دست شما ها هم رسیده ؟؟؟؟ خودتون چیکار کردین ؟؟؟
ممنون از پاسختون
خوشبختی یعنی اینکه خداوند آنقدر عزیزت کند که مایه آرامش دیگری شوی ...
اگه از radius server استفاده نکنی و بخوای کاربرای AD رو هم داشته باشی یه راه دیگش اینه که از 2 تا ISA استفاده کنی که یکیش رو باید join کنی که بتونی بر حسب user های AD فیلتر کنی و درخواست رو برای اون یکی که gateway اصلی هستش بفرستی . که بهش میگن Back to back firewall
روتر ها و فایروال های دیگه هم میتونند مورد استفاده قرار بگیرن ، حتما که نباید آیزا باشه .
اتفاقا خیلی هم ساده هستش .
کافیه بین سرور آیزات که join هست و مودمت یه سرور آیزای دیگه قرار بدی و رو اون تمام درخواست ها رو بفرستی به external . چون با آیزای اولی عملیات فیلترینگ رو برحسب کاربر یا ip یا ... انجام دادی و هر چی از اولی اجازه عبور بگیره به دومی میرسه که خب اونم میفرستتش تو اینترنت . به همین سادگی
همونجور که میدونید gateway سرور اول باید سرور دوم باشه و رنج ip بین دو سرور باید با رنج شبکه داخلی و مودم فرق داشته باشه و تنها راه رسیدن از شبکه داخلی به سرور دوم ، عبور از سرور اول باشه .
امروز داشتم میگشتم توی فروم به این مطلب که یکی از دوستان فروم تهیه کردن برخوردم گفتم همینجا بزارم تا بقیه هم خواستن استفاده کنن
راهنمای NTTacPlus - (فارسی و انگلیسی)
خوشبختی یعنی اینکه خداوند آنقدر عزیزت کند که مایه آرامش دیگری شوی ...
سلام دوستان .
دوست عزیزمون درست میگه . برای تمام ادارات بخشنامه آمده که بستر اینترنت رو از شبکه داخلیشون جدا کنن که اداره ما هم از این قاعده مستثنی نبوده و باید این دو تا بستر رو از هم جدا کنه.
دوستان به یه نکته توجه داشته باشن که توی ادارات وقتی که میگن این دو تا بستر از هم جدا باشه یعنی یا شبکه داخلی یا اینترنت.
آنها که ایزا و روتر و ... سرشون نمی شه که.
بعنوان مثال من داشتم اینترنت رو از روی آیزا با vpn به کاربرا می دادم و آیزا هم عضو دامین نبود و کاربرا وقتی که vpn می زدن یه رنج جدا آی پی می گرفتن ، از بالا گفتن که نه . چرا رو کلاینتها هم اینترنت هست هم شبکه داخلی ؟
آمدم فایروال گذاشتم ، از رو روتر اینترنت دادم و ... بازم گفتن نه. حالا ما موندیم چی کار کنیم. توی یکی از ادارات دیدم که بنده خدا admin شون امده بود برای کاربرایی که باید از اینترنت استفاده می کردن یه شبکه جدا با سویچ و.... جدا گذاشته بود و اون کاربر هم دو تا سیستم داشت یکیش مخصوص اینترنت و دیگری مخصوص شبکه.
می خواستم اینو بگم که دوستان هر چقدر بخواهن از نظر فنی کار انجام بدن باز برشون قابل توجیه نیست . ( مرغ یک پا داره . یا اینترنت یا شبکه )
ویرایش توسط ali.b : 2010-06-10 در ساعت 12:29 PM
خوشبختی یعنی اینکه خداوند آنقدر عزیزت کند که مایه آرامش دیگری شوی ...
کسی نبود ؟؟؟؟؟
خوشبختی یعنی اینکه خداوند آنقدر عزیزت کند که مایه آرامش دیگری شوی ...
سلام
هميشه كسي هست
فقط اينو بگم كه اين سناريو دهها راه حل متفاوت داره.
هر مديري از ديد خودش سعي ميكنه مشكل رو حل كنه.
براي مديري امنيت حرف اول رو ميزنه ، براي مدير ديگه اي
هزينه مهمتره ، براي يكي ديگه زمان مهمتره ، ....
قبل از شروع به ارائه راه حل براي اين موضوع ، شما به عنوان مدير بايد
بايد ها و نبايد ها و اولويت هاي كاري خودتون و سازمانتون رو مشخص
كنين تا تصميم بگيريم ، چي مد نظرتون هست ، بعد راه حل ارائه بديم.
توجه كنيم ، راه حل هاي مبتني بر امنيت شبكه ، يا كمترين هزينه ، و يا
كمترين زمان كاملا باهم متفاوت هستند.
بديهيه كه بهترين راه حل مبتني بر امنيت شبكه ، جوابگوي نياز هاي
مديري كه هزينه مد نظرشه هست را نخواهد بود.
نظر شخصيه من اينه كه اين تصميمات نشانگر سواد پايين تصميم گيرنده ها
و مصداق بارز " پاك كردن روي سوال " هست. چراكه وقتي امكان كاركرد همزمان
اينترنت و شبكه داخلي هست ، جدا سازي انها ، مي تواند حاكي از عدم توانايي
مديران دولتي در ارائه راه حل باشد. مسئله اي كه كمي ترس هم از زير سوال
رفتن در ان مشاهده مي شود.
به نظر من برای تفکیک اینترنت از شبکه داخلی شرکت می توانید از دو روش استفاده کنید :
1- استفاده از روتر یا سوئیچهای لایه 3
2- استفاده از نرم افزارهای کنترلی
در صورت استفاده از روتر یا سوئیچهای لایه 3 شما می توانید 2 شبکه را روی روتر تعریف کنید سپس با استفاده از ACL و ایجاد یکسری تنظمیات دو شبکه رو از هم مجزا کنید
در روش دوم شما با استفاده از 2 آیزا سرور و یک برنامه اکانتیگ که کم هم نیستند از طریق ارتباط VPN یا PPOE یا هر نوع ارتباط دیگری محدودیت خواسته شده را اعمال کرد
اوامری بود در خدمتم
میشه نحوه راه اندازی سرورradius و برقراری ارتباطش با isaرو توضیح بدین یا منبعی معرفی کنین؟ ممنون
برای ارتباط سوئیچهای لایه 3 با یکدیگر که اطلاعات مفید و زیادی در بخش Cisco Systems در همین فروم قرار داره که میتونید از آنها استفاده کنید . بهترین راه حل برای جدا سازی شبکه های از هم استفاه از VLan هست که اگر یه سرچ کوچولو بکنید دنیای از مطالب در این خصوص پیدا میکنید بهترین مرجع هم Cisco.com هست.
ارادتمند شما