|
 | 作者: Sampan [sampan]
 论坛用户 |
登录 |
| 我们公司的网络结构是这样的,宽带接入,PIX防火墙,网站的WEB服务器在PIX的DMZ区,其他机器的网段是192.168.1.X,我们公司有很多部门,现在网站部为了不受其他部门的干扰,要求独立接一个HUB,要求网站部和其他部门不可互相访问,即要求完全隔离,但全公司只有一条宽带专线,我尝试过将IP换为192.168.2.X,虽无法互相访问,但病毒仍可传播,无法做到完全隔离,我想应该在网站部HUB与接在PIX非DMZ区的交换机之间接一个设备,但不知应用什么设备,请高手指教,我是一个菜菜鸟。 |
| 地主 发表时间: 11/04 16:07 |
 | 回复: yangze [yangze]  版主 |
登录 |
|
要么就装个可以管理工作站的防火墙.这一段时间摸了一个ISA2000SERVER.这个东西可以达到你的要求,在同一个网段中可以让某一台电脑只能访问规则中允许的电脑.不过这个东东在速度上不可取. 你第二种方案就你用过的分段了.你想让病毒不能传播那是因为你的安全工作没有做好.跟这个有什么关系? [此贴被 木马(yangze) 在 11月4日17时37分 编辑过] |
| B1层 发表时间: 11/4 17:1 |
| 回复: nightcolor [nightcolor]  版主 |
登录 |
|
呵? 软路由 ? 还是划分子网的好 如果条件够好买个路由嘛 |
| B2层 发表时间: 11/05 20:07 |
 | 回复: tmxk [tmxk]  论坛用户 |
登录 |
|
在pix上加一块网卡,网站的hub连在增加的这块网卡上,acl随你去设。不用去cisco订货,随便找个intel的网卡就可以。 方法2, 估计你们公司的内网是三层路由的交换机,划分vlan. |
| B3层 发表时间: 11/05 22:50 |
 | 回复: amanda [amanda] 论坛用户 |
登录 |
|
有病毒传播,如果的确是内部之间(.1.X与.2.X)之间传播的,是不是代表两个网段之间还是可以互相访问的? 用防火墙、软路由、网关、代理服务器、VLAN等等隔离一下就可以了。 但是我没用过PIX的防火墙,楼上那位,真的加一块普通网卡就可以了吗?防火墙可以认出这块网卡吗?控制软件要升级吗? |
| B4层 发表时间: 11/06 11:22 |
| 回复: tmxk [tmxk] 论坛用户 |
登录 |
|
pix 的网卡都是用的intel , firmware从4.1开始一直到5.0都是这样的。不需要升级。 此方法绝对可行,而且经济,但要确定pix 可以插上这块网卡, 如果空间有问题可以插intel的四口网卡,那就什么问题都解决了。 |
| B5层 发表时间: 11/07 00:46 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 系统集成
标题: 网络的隔离问题!