Проектирование основных узлов сети.
Компания состоит из главного филиала, второго филиала, расположенного в том же городе и подключенного к главному филиалу посредством оптоволокна, и третьего филиала, который подключается к сети главного филиала через VPN (рис. 1).
Рис 1. Общая топология сети.
Главный филиал.
Сеть имеет не сложную структуру (рис. 2), перед выходом в глобальную сеть расположен шлюз с серверной ОС CentOS, затем подключен L3 коммутатор, который управляется VLAN. К L3 коммутатору подключено 3 межсетевых экрана, первый имеет подключение к DMZ состоящему из L2 коммутатора и подключенных к нему: сервера базы данных, web-сервера, почтового сервера и файлового хранилища. Ко второму межсетевому экрану подключен L2 коммутатор, который распределяет трафик на рабочие станции и точку доступа Wi-Fi. Третий МЭ служит точкой подключения второго филиала по оптоволокну.
Рис 2. Топология сети главного филиала.
4.1.1. Шлюз.
Сетевой шлюз корпоративной сети – устанавливается в точке выхода сегмента корпоративной сети в Интернет. В качестве операционной системы выбран CentOS, т.к. система достаточно стабильная для подобных задач, имеет гибкие настройки, большим плюсом является и то, что у данной ОС большое комьюнити. Срок поддержки каждой версии составляет десять лет, каждая версия обновляется раз в шесть месяцев, для поддержки новых аппаратных средств. На сетевом шлюзе реализуется пакетный фильтр iptables, сервер VPN.
4.1.2. L3 коммутатор.
В качестве L3 коммутатора выбран D-Link DXS-3600-32S по причине наличия в нем функции маршрутизации, достаточного количества 10-гигабитных портов, возможности установления VPN туннеля, поддержки протокола SNMP. Расширенная копия программного обеспечения (EI) поддерживает маршрутизацию IPv4/v6, включая RIP, VRRP, OSPF, BGP, а также функции многоадресной рассылки уровня 3, такие как IGMP, MLD, PIM-DM, SM, SDM, SSM, и DVMRP. Расширенная копия программного обеспечения (EI) также поддерживает L2/L3 MPLS VPN, что позволяет установить коммутаторы серии DXS-3600 в качестве главного маршрутизатора сети предприятия или граничного маршрутизатора сети MPLS.
4.1.3. L2 коммутатор.
В качестве L2 коммутатора выбран D-Link DGS-1510-52X/ME. Он также поддерживает протокол SNMP, имеет 48 портов 1Gbit и 4 порта 10Gbit. Предусмотрено управление доступом на основе MAC-адресов (MAC). Функции MAC позволяют сетевым администраторам проводить аутентификацию пользователя/устройства и управлять безопасностью сети без необходимости установки клиентского программного обеспечения. Предусмотренная в коммутаторе DGS-1510-52X/ME функция IP-MAC-Port Binding (IMPB) обеспечивает строгую привязку по адресам и интерфейсам, а ARP Spoofing Prevention – защиту сети от атак типа Man-In-The-Middle и ARP Spoofing.
4.1.4. Межсетевой экран.
В качестве межсетевого экрана выбран D-Link DFL-2560, который предоставляет производительность экрана в 2Gbit/c, VPN в 1Gbit/c, производительность антивируса в 450Mbit/c. Антивирусное сканирование в реальном времени. Межсетевые экраны обеспечивают законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени. Для оптимальной настройки VPN межсетевые экраны NetDefend UTM поддерживают встроенный VPN-клиент и сервер, включая протокол IPSec. Межсетевые экраны NetDefend UTM используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против неизвестных атак.