سناریو سرور بکاپ گیری

**maff21** · 2015-08-17, 12:43 AM

سلام دوستان سازمانی هست که 20 تا دفتر داره و این 20 دفتر هر کدوم متشکل از تعدادی کلاینت هستند

به منظور تجمیع حساب های سازمان یک سرور واحد برای اون ها در نظر گرفته شده که نرم افزار حساب داری ران بشه و بقیه استفاده کنن و سرور باید از دیتا بیس هر 4 ساعت به 4 ساعت بکاپ بگیره!

یک سرور hp هم داریم که روش 2008 نصبه
مشکل اینجاست که تعدادی از کلاینت ها لوکال هستند یعنی تو مجموعن و تعدادی پخش هستن داخل شهر که اینترنت دارن

بهترین پیشنهاد برای عملی کردن این سناریو چیه که سیستم یک پارچه سازی روی سرور ران بشه
در ضمن مهم این هست هر کسی نتونه به اتوماسیون نفوذ کنه
و در نظر داریم از vpn سرور ماکروسافتی روی همون سرور استفاده کنیم

حالا چطوری این حساب داری هارو باهم تجمیع کنیم که امنیتشم خوب باشه؟در ضمن کلاینت های یک واحد نباید بتونه کلاینت واحد دیگه ای رو ببینه جدا از هم هستن و حساب ها هم جدا ثبت میشه ولی روی یک سیستم جامع هست

موضوعات مشابه:

**ICT-M** · 2015-08-17, 10:41 PM

بهترین پیشنهاد برای عملی کردن این سناریو چیه

دقیقاً کدوم سناریو ؟؟

هر کسی نتونه به اتوماسیون نفوذ کنه

!

کلاینت های یک واحد نباید بتونه کلاینت واحد دیگه ای رو ببینه

خب فقط این رو تا حدودی متوجه منظورتون شدم ، با راه هایی مثله VLAN میشه این کار کرد ولی باید باز ببینیم شما میخواهید توی چه لایه ای جلوی این کار رو بگیرید !

**maff21** · 2015-08-18, 12:30 AM

نوشته اصلی توسط ICT-M

دقیقاً کدوم سناریو ؟؟
!

خب فقط این رو تا حدودی متوجه منظورتون شدم ، با راه هایی مثله VLAN میشه این کار کرد ولی باید باز ببینیم شما میخواهید توی چه لایه ای جلوی این کار رو بگیرید !

دوست عزیز خیلی ممنون که جواب دادید
همین سناریو بگاپ گیری که سیستم هاش پخش هست+داشتن امنیت مناسب از سمت کلاینت ها
به صورتی که اگر کسی اومد لپتاپش رو روشن کرد و به شبکه ی اونجا متصل شد نتونه کاری بکنه

**ICT-M** · 2015-08-18, 10:14 AM

خواهش می کنم برادر من

اومد لپتاپش رو روشن کرد و به شبکه ی اونجا متصل شد نتونه کاری بکنه

خب حالت اول اینه که برا امنیت شبکه تون به صورت لایه ای تصمیم بگیرید و برنامه ریزی کنید ، که البته دوستان توی همین فروم هم زیاد بهش اشاره کردن و منم تا اونجایی که ازشون یاد گرفتم رو بازنویسی میکنم و امیدوارم مطلبی که می خواهید رو ازش برداشت کنید .
خب اول از امنیت فیزیکی شروع کن ! مثلا چرا توی یه راه رو یا چه میدونم جاهایی که نیاز نیست مثلا سوکت شبکه باشه ، بعدش یکم بیا بالاتر و برو صراغ Port Guard مثلا هر پورت رو برای یک مک خاص یا دوتا مک ببند یا اینکه برای مک هایی که اکسز به شبکه تون می تونن داشته باشن یه Radius راه اندازی کن کاربر که به شبکه متصل کنه دیوایسش رو ، طبق پالیسی شما بهش اجازه یا عدم اجازه میده و از این لایه بگذریم بیایم صراغ Isolate کردن کاربران (دوست من این مطالب هرکدومشون چندین صفحه User Manual دارن که اگر براتون نامفهوم بود می تونید به گوگل مراجعه کنید) و بعدش ..... تا نهایت برسید به لایه Application که می تونید با برنامه هایی شبیه ISA,TMG سرور هایی شبیه IPFire و ... جهت جلوگیری غیر مجاز به منابع خودتون جلوگیری کنید.

و اما بک آپ گیری !

خب نرم افزار های ایرانی هم در این زمینه فراوانند که Server آنها در یک Location نصب گردیده و Agent های اون هم روی تک تک سیستم هایی که قراره ازشون بک آپ گرفته شود نصب میشود و بدین ترتیب به صورت Periodically از اطلاعات شما بک آپ گرفته میشود و با توجه به اینکه Database های SQL وقتی که In use یا Attache شده باشند ، حالت معمولی نمیشه از آنها بک آپ گرفت و بدین دلیل نرم افزار بک آپ که تهیه می کنید حتما "قابلیت بک آپ گیری از Database " توی Features های آن قید شده باشد.

خب این از روش بک آپ گیری . که البته این یکی از روش ها بود.

**maff21** · 2015-08-18, 10:20 AM

نوشته اصلی توسط ICT-M

خواهش می کنم برادر من
خب حالت اول اینه که برا امنیت شبکه تون به صورت لایه ای تصمیم بگیرید و برنامه ریزی کنید ، که البته دوستان توی همین فروم هم زیاد بهش اشاره کردن و منم تا اونجایی که ازشون یاد گرفتم رو بازنویسی میکنم و امیدوارم مطلبی که می خواهید رو ازش برداشت کنید .
خب اول از امنیت فیزیکی شروع کن ! مثلا چرا توی یه راه رو یا چه میدونم جاهایی که نیاز نیست مثلا سوکت شبکه باشه ، بعدش یکم بیا بالاتر و برو صراغ Port Guard مثلا هر پورت رو برای یک مک خاص یا دوتا مک ببند یا اینکه برای مک هایی که اکسز به شبکه تون می تونن داشته باشن یه Radius راه اندازی کن کاربر که به شبکه متصل کنه دیوایسش رو ، طبق پالیسی شما بهش اجازه یا عدم اجازه میده و از این لایه بگذریم بیایم صراغ Isolate کردن کاربران (دوست من این مطالب هرکدومشون چندین صفحه User Manual دارن که اگر براتون نامفهوم بود می تونید به گوگل مراجعه کنید) و بعدش ..... تا نهایت برسید به لایه Application که می تونید با برنامه هایی شبیه ISA,TMG سرور هایی شبیه IPFire و ... جهت جلوگیری غیر مجاز به منابع خودتون جلوگیری کنید.

و اما بک آپ گیری !

خب نرم افزار های ایرانی هم در این زمینه فراوانند که Server آنها در یک Location نصب گردیده و Agent های اون هم روی تک تک سیستم هایی که قراره ازشون بک آپ گرفته شود نصب میشود و بدین ترتیب به صورت Periodically از اطلاعات شما بک آپ گرفته میشود و با توجه به اینکه Database های SQL وقتی که In use یا Attache شده باشند ، حالت معمولی نمیشه از آنها بک آپ گرفت و بدین دلیل نرم افزار بک آپ که تهیه می کنید حتما "قابلیت بک آپ گیری از Database " توی Features های آن قید شده باشد.

خب این از روش بک آپ گیری . که البته این یکی از روش ها بود.

بسیار عالی دوست عزیز راه کار امنیت رو متوجه شدم به نظر شما اگر از vpn سرور استفاده کنم خوبه?
مساله اینجاست شاید قریب به نصف کلاینت ها تو شهر پخش هستند!
اونهارو چه کنیم!?
درضمن من میخوام حدالمقدور از سرویس های ماکروسافتی استفاده کنم تجهیزات بیشتری اضافه نکنم ولی اگر هم نیاز باشه این کار رو میکنم

وبرای بکاپ گیری
من این نکته رو میدونم که وقتی دیتابیس مورد استفاده هست نمیشه بگاپ گرفت پس اون رو موکول میکنیم به آخر وقت اداری
مشکل من نحوه ی ارتباطات سرور با کلاینت های بیرون شبکه هستش و امنیت اطلاعات اون ها!

**ICT-M** · 2015-08-18, 10:35 AM

با توجه به علاقه مندیتون به Microsoft ! بهتون پیشنهاد نمی کنم VPN Serverتون هم روی Application Serverتون RUN بشه !
برا این منظور ، و Publish کرردن سرور تون توی اینترنت و از یک طرف مدل امنیت چند لایه ای رو بخواهید پیاده کنید ، با اینکه MikroTik OSبه عنوان یک Firewall نمیشه بهش نگاه کرد ولی در اینجا یک گزینه خیلی کارآمد برای سناریو شما هست ! یا شما یک OS خریداری میکنید و روی Hyper-V نصب میکنید و سپس روی V-Machin خود (اینترفیس) V-Lan ست میکنید تا ترافیک شما از روتر اصلی تون و روتر Mikrotik به صورت Isolate شده و بدور از ترافیک Internal Lan خود در شبکه قرار گیرد یا اینکه با 100تومن یه RB750 بگیر واینترنت ورودی رو بهش بده و از اونجا هم NAT های لازم برا دسترسی به سرور و PPPTP Server یا L2TP Server خودتو راه اندازی میکنید .
و از طرفی هم رنج PPP Client ها رو با رنج Internal LAN متفاوت میدی که کنترل بیشتری برای جداسازی LAN و WAN داشته باشید.

من الله و توفیق

**maff21** · 2015-08-18, 10:44 AM

نوشته اصلی توسط ICT-M

با توجه به علاقه مندیتون به Microsoft ! بهتون پیشنهاد نمی کنم VPN Serverتون هم روی Application Serverتون RUN بشه !
برا این منظور ، و Publish کرردن سرور تون توی اینترنت و از یک طرف مدل امنیت چند لایه ای رو بخواهید پیاده کنید ، با اینکه MikroTik OSبه عنوان یک Firewall نمیشه بهش نگاه کرد ولی در اینجا یک گزینه خیلی کارآمد برای سناریو شما هست ! یا شما یک OS خریداری میکنید و روی Hyper-V نصب میکنید و سپس روی V-Machin خود (اینترفیس) V-Lan ست میکنید تا ترافیک شما از روتر اصلی تون و روتر Mikrotik به صورت Isolate شده و بدور از ترافیک Internal Lan خود در شبکه قرار گیرد یا اینکه با 100تومن یه RB750 بگیر واینترنت ورودی رو بهش بده و از اونجا هم NAT های لازم برا دسترسی به سرور و PPPTP Server یا L2TP Server خودتو راه اندازی میکنید .
و از طرفی هم رنج PPP Client ها رو با رنج Internal LAN متفاوت میدی که کنترل بیشتری برای جداسازی LAN و WAN داشته باشید.

من الله و توفیق

بسیار عالی حالا که رفتیم سراغ میکروتیک
اگر pppoe سرور روش ران کنیم چطوره
من خودم طرفدار مجازی سازیم ولی تو این سناریو نمیخوام برم سراغش چون گستردگی نداره اصلا
درادامه شما فرمودیت که اپ سرور از آتنتیکیت سرور جدا باشه خوب اگر بیایم یه سرور جدا درنظر بگیریم و tmg روش ران کنیم چطوره
یا این که اصلا یه فایروال بخریم چطوره کدوم بهتره?

Sent from my HTC 601 Dual using Tapatalk

**ICT-M** · 2015-08-18, 03:53 PM

اگر pppoe سرور روش ران کنیم چطوره

نه نشدنیه ، شما از محیط بیرون و اینترنت (IP = لایه 3) بخواید با PPPOE Connection به روتر خودتون Connect بشوین.

خوب اگر بیایم یه سرور جدا درنظر بگیریم و tmg روش ران کنیم

سلوشن خوبیه ، میتونید حتی همین TMG رو هم به عنوان Access Server توی پلن خودتون در نظر بگیرید .

یه فایروال بخریم

عالیه ، فقط برادر خرید به تنهای یک Firewall هیچ دردی رو مداوا نمیکنه ! باید با اون Firewall که میگید آشنایی کامل داشته باشید ، وگرنه چه میدونم زدن پورت اینترنت به wan و پورت شبکه داخلی به پورت LAN دستگاه Firewall خیلی مورد جالبی نیست !

**maff21** · 2015-08-18, 04:11 PM

نوشته اصلی توسط ICT-M

نه نشدنیه ، شما از محیط بیرون و اینترنت (IP = لایه 3) بخواید با PPPOE Connection به روتر خودتون Connect بشوین.

سلوشن خوبیه ، میتونید حتی همین TMG رو هم به عنوان Access Server توی پلن خودتون در نظر بگیرید .

عالیه ، فقط برادر خرید به تنهای یک Firewall هیچ دردی رو مداوا نمیکنه ! باید با اون Firewall که میگید آشنایی کامل داشته باشید ، وگرنه چه میدونم زدن پورت اینترنت به wan و پورت شبکه داخلی به پورت LAN دستگاه Firewall خیلی مورد جالبی نیست !

بسیار عالی
حالا اگر من یه سرور مجزا برای tmg درنظر بگیرم باید اون رو قبل از سرور قرار بدم یعنی از لحاظ پیکربندی پسیو به چه صورت?
سرور اصلی یا همون بکاپ به سرور tmg متصل میشه و سرورtmg میره تو سویچ و به کلاینت ها میرسه?
آقا من هموز نفهمیدم کلاینت های بیرون شبکه رو چیکار کنم اونایی که با اینترنت متصل هستند?

**ICT-M** · 2015-08-18, 04:51 PM

اون رو قبل از سرور قرار بدم

به صورت لاجیکال این رو انجام بدید.
از روتر اصلی تون ترافیک مورد نظر رو به این سرور جدید TMG انتقال بدید ، و از طریق TMG هم Application Server خودتون رو توی محیط کاربران اینترنتی و شبکه WAN خود Publish کنید .

کلاینت های بیرون شبکه

ساده ترین حالت ممکن : PPTP Server بر روی میکروتیک . بعد از Connection زدن کاربران اینترنتی ، براشون یه روت اضاف می کنید که بتونن Application Server شما هم ببینند (که کلاینت ها خبر ندارند این Application Server واقعی شما نیست و یک TMG سر راه شون قرار گرفته)

**maff21** · 2015-08-18, 07:57 PM

نوشته اصلی توسط ICT-M

به صورت لاجیکال این رو انجام بدید.
از روتر اصلی تون ترافیک مورد نظر رو به این سرور جدید TMG انتقال بدید ، و از طریق TMG هم Application Server خودتون رو توی محیط کاربران اینترنتی و شبکه WAN خود Publish کنید .

ساده ترین حالت ممکن : PPTP Server بر روی میکروتیک . بعد از Connection زدن کاربران اینترنتی ، براشون یه روت اضاف می کنید که بتونن Application Server شما هم ببینند (که کلاینت ها خبر ندارند این Application Server واقعی شما نیست و یک TMG سر راه شون قرار گرفته)

دوست عزیز من نمیتونم هم از روتر میکروتیک کمک بگیرم هم از tmg اینجوری هزینه دو چندان میشه!

آیا روتر میکروتیک هم میتونه کار tmg رو برای من بکنه( در حقیقت از میکروتیک به عنوان فایروال هم کمک بگیریم )که من tmg رو بذارم کنار و یه روتر میکروتیک بذارم
اگر مدلی مد نظر دارید ممنون میشم اما ترجیها رک مونت باشه!
ممنونم

**ICT-M** · 2015-08-19, 12:19 AM

میکروتیک به عنوان فایروال هم کمک بگیریم

میکروتیک قابلیت های IDS/IPS رو نداره ولی تا حدودی هم هوشمندانه با موضوع فیلترینگ یا فایروال عمل میکند که بنظر میاد کار شما رو انجام میده.

مدلی مد نظر .....ترجیها رک مونت

RB1100 - RB2011

**maff21** · 2015-08-19, 12:27 AM

نوشته اصلی توسط ICT-M

میکروتیک قابلیت های IDS/IPS رو نداره ولی تا حدودی هم هوشمندانه با موضوع فیلترینگ یا فایروال عمل میکند که بنظر میاد کار شما رو انجام میده.

RB1100 - RB2011

بسیار عالی
مدل هارو دیدم
ولی آیا این روتربرد میتونه امنیت رو دربرابر حملات خارجی دفع کنه

وسوال دوم این که اگر من بخوام vpn سرور روش ران کنم + لود بالانس هم روش اوکی کنم
جواب گو هستش اگر نه چه مدلی پیشنهاد میکنید
سوال بعدی این که مودم رو به روتر وصل کنم بعد یه کابل به سوییچ در صورت نیازپورت بیشتر
و یک کابلم به سرور بره?
کانکشن چطور باشه خود مودم بزنه یا روتر بزنه بهتره منظورم pppoe هستش

**ICT-M** · 2015-08-19, 12:48 AM

آیا این روتربرد میتونه امنیت رو دربرابر حملات خارجی دفع کنه

میکروتیک هم یک سری لایه های حفاظتی برای امنیت شبکه و عدم دسترسی غیر امن به شبکه شما بهتون میده و اینکه بگم میکروتیک رو به تنهایی بذار داخل شبکه ات و 100% امنیتت رو تامین کردی ، اصلا جمله جالبی نیست همانطور که بگم TMG رو نصب کن و 100% امنیت شما تامین شده ! ولی بهتره این طور بگم که با Config مناسب Mikrotik OS خود می توانید در جهت بهبود امنیت شبکه موثر باشد .

اگر من بخوام vpn سرور روش ران کنم

کاملا شدنی و امکان پذیر می باشد.

لود بالانس هم روش اوکی کنم

چه چیزی رو می خواهید براش لود بالانسینگ انجام دهید ؟ آیا منظورتون دسترسی به اینترنت هست یا موضوع دیگه ای ؟

جواب گو هستش

بله این دو مدل که گفتم ، هرکدومش اگر بخواهید فقط همین کارها رو ازش بکشید ، CPU Usage شما کمتر از 3% خواهد بود.

کانکشن چطور باشه

از مودم به یک پورت روتر مثلا پورت شماره 1 وصل کنید و از یک پورت دیگه روتر به سوییچ شبکه داخلی تون .

برای کنترل بیشتر بر روی کانکشن PPPOE ، مودم رو روی حالت Bridge بگذارید و بر روی روتر خود یک PPPOE Connection ست کنید.

**maff21** · 2015-08-19, 12:53 AM

نوشته اصلی توسط ICT-M

میکروتیک هم یک سری لایه های حفاظتی برای امنیت شبکه و عدم دسترسی غیر امن به شبکه شما بهتون میده و اینکه بگم میکروتیک رو به تنهایی بذار داخل شبکه ات و 100% امنیتت رو تامین کردی ، اصلا جمله جالبی نیست همانطور که بگم TMG رو نصب کن و 100% امنیت شما تامین شده ! ولی بهتره این طور بگم که با Config مناسب Mikrotik OS خود می توانید در جهت بهبود امنیت شبکه موثر باشد .

کاملا شدنی و امکان پذیر می باشد.

چه چیزی رو می خواهید براش لود بالانسینگ انجام دهید ؟ آیا منظورتون دسترسی به اینترنت هست یا موضوع دیگه ای ؟

بله این دو مدل که گفتم ، هرکدومش اگر بخواهید فقط همین کارها رو ازش بکشید ، CPU Usage شما کمتر از 3% خواهد بود.

از مودم به یک پورت روتر مثلا پورت شماره 1 وصل کنید و از یک پورت دیگه روتر به سوییچ شبکه داخلی تون .

برای کنترل بیشتر بر روی کانکشن PPPOE ، مودم رو روی حالت Bridge بگذارید و بر روی روتر خود یک PPPOE Connection ست کنید.

خیلی ممنونم که وقت میذارید
لود بالانس برای اینترنت هستش
درضمن میخوام اکانتینگ روش ران کنم و از سمت کلاینت ها با vpn متصل شن که هم اینترنت داشته باشن هم کانکشن ایزوله باشه
درسته هیچ چیز 100% نیست منتهی روتر برد میتونه کارایی tmg روداشته باشه حدودا در چه حد?

Sent from my HTC 601 Dual using Tapatalk

موضوع: سناریو سرور بکاپ گیری

پیوند

ابزارهای موضوع

نمایش

سناریو سرور بکاپ گیری

کلمات کلیدی در جستجوها:

سناریو بک آپ گیری

برچسب برای این موضوع

مجوز های ارسال و ویرایش