求助：安全性要求高的局域网组建问题！！！

ganluren2006

单位内部要组建局域网，安全性要求极高，共五个部门，大部门下还有小部门，要求大部门之间不能互相访问，必要时，可以人为设定，小部门之间可以互相访问，必要时可以禁止相互访问，该网络不连接互联网，请问该如何选择最优的方案。
如果用软路由是否很好？
直线距离5公里左右的客户端该如何通过光纤连接该网络？谢谢！！

naboo

你把这个信儿告诉你当地一家做网络设备的公司，他们就会很主动地给你做方案，跟你拉关系，其它的。。。你看着办吧。。。

gzeddie

装两台RouterOS路由就可以做到了。光纤要加装光纤收发机。
各大部门先独立布线，然后连入到 路由 。用路由管。

浪子淡淡

域管理就可以了，什么特 殊硬件都不需要。

yuanzheng

同意。。做基于域的控制。。在加个ISA基本就够了。。

parphy

原帖由 naboo 于 2006-2-13 12:27 发表
你把这个信儿告诉你当地一家做网络设备的公司，他们就会很主动地给你做方案，跟你拉关系，其它的。。。你看着办吧。。。

完全同意！



另外，域的方式不可取，那只能用来对付两种人：
1、不太懂网络的人（显然，你没办法控制全体职工的网络技术水平）
2、虽然精通网络但绝对服从上级，说不让做，那就能做也坚决不做！（可惜这种人...）

bill

原帖由 naboo 于 2006-2-13 12:27 发表
你把这个信儿告诉你当地一家做网络设备的公司，他们就会很主动地给你做方案，跟你拉关系，其它的。。。你看着办吧。。。

我也同意这样

如果用软路由，可以不管大部门还是小部门每一个部门一个ip段，用ros防火墙来控制互访

yuanzheng

原帖由 parphy 于 2006-2-15 14:28 发表


完全同意！



另外，域的方式不可取，那只能用来对付两种人：
1、不太懂网络的人（显然，你没办法控制全体职工的网络技术水平）
2、虽然精通网络但绝对服从上级，说不让做，那就能做也坚决不做！（可惜 ...

呵呵。。。好象这个兄弟对WIN的东西还不太了解。。不要以为WIN的权限设置是给孩子玩的。。
ISA的防火墙也是给小孩设计的。。
根本不需要硬件。。
起初WIN2000能从LINUX里抢到了N多的网络可户你以为人家MICSOFT是白痴啊？？你的技术水平能和国外比吗？不要以为自己很懂的：你没办法控制全体职工的网络技术水平。！那你以为你全体职工的网络技术水平能和微软的技术水平比吗？？硬件的东西什么是好？CISCO的是好。。可大部分都是主干上的。 一个普通的公司根本用不上。其他的垃圾的你感用吗？大家可以先去了解一下WIN的的关于域及AD的概念在来讨论这个问题。

tylw-163

原帖由 yuanzheng 于 2006-2-15 17:45 发表



呵呵。。。好象这个兄弟对WIN的东西还不太了解。。不要以为WIN的权限设置是给孩子玩的。。
ISA的防火墙也是给小孩设计的。。
根本不需要硬件。。
起初WIN2000能从LINUX里抢到了N多的网络可户你以为人家M ...

AD+ISA应该可以实现的，ISA2004不是小孩子能玩明白的,AD也不是小孩子能玩明白的.如果你真的玩明白了,可能就不会来这个地方讨论这些问题了.WIN2003AD+ISA这个组合基本是目前企业最流行的.

parphy

原帖由 yuanzheng 于 2006-2-15 17:45 发表



呵呵。。。好象这个兄弟对WIN的东西还不太了解。。不要以为WIN的权限设置是给孩子玩的。。
ISA的防火墙也是给小孩设计的。。
根本不需要硬件。。
起初WIN2000能从LINUX里抢到了N多的网络可户你以为人家M ...

我估计各位还没有看清楚LZ的要求：

“单位内部要组建局域网，安全性要求极高.......”
我的意思（可能前面的就被很多人误解）是??单纯依赖操作系统本身的安全性是远远不够的！整体安全性就需要整体的解决方案，根据LZ的提问，不难判断以LZ目前的技术能力，我提的方案即便不敢最好的，也肯定是最好的之一。

网友受某种局限，提的问题也许有很多都不够专业，但回答问题的人，就应该相对专业一些才好...


在我协助破获的一起某政府机关内部泄密案件中，作案人就是通过一张启动光盘，移走了SAM，共享完数据后，又考回SAM，神不知鬼不觉，从此，该单位才先后陆续完善了VLAN交换机、IDS、SYSLOG、防火墙等安全系统...


说句题外话
说我对卖骚的产品不了解，我丝毫不反对，但我的确是我们省第一批的MCSE里最先考过的前10人之一。
问：“单位内部要组建局域网，安全性要求极高.......”

答：“ONLY MS SYSTEN ENOUGH”

如果这是微软考题的话，这样的回答，就连微软的人批卷，也会打个大大的红叉的

“严肃点，没看我们在打劫吗？”

????说这话的，
下次该不会是黑客了吧？

[ 本帖最后由 parphy 于 2006-2-16 14:49 编辑 ]

爱好网络

ros的桥接放火墙功能值得用.....

yuanzheng

原帖由 parphy 于 2006-2-16 14:45 发表



我估计各位还没有看清楚LZ的要求：

“单位内部要组建局域网，安全性要求极高.......”
我的意思（可能前面的就被很多人误解）是??单纯依赖操作系统本身的安全性是远远不够的！整体安全性就需要整体的 ...

如果你的电脑的物理环境都不能解决好的话用什么设备软件系统都一！随便什么人都能拿启动盘进去，只能先解决物理情况了。。。而不是电脑的安全性！

parphy

原帖由 yuanzheng 于 2006-2-16 16:29 发表


如果你的电脑的物理环境都不能解决好的话用什么设备软件系统都一！随便什么人都能拿启动盘进去，只能先解决物理情况了。。。而不是电脑的安全性！

我觉得你的话，其实，正好验证了我的观点。
网络安全的技术安全本身就是一个不算小的系统工程
物理安全，你认为人家没保证，可是当时的相关领导却恰恰认为有保证的??大院有武警巡逻、大门口有战士站岗、信息中心的大楼还专门设了门卫...
我不想扯别的，只想说明一点??物理安全同样也是系统工程

保证物理安全和技术安全乃至行为安全的是什么？是制度，制度不一样也是系统工程吗？

如此复杂的系统，我觉得，找当地一家有经验系统集成商是最合适的

自己也不是不能学，但学习有一定的过程，而且对于一个安全性要求高的单位，也决不应该把安全的重担放在一个不能称为专家的爱好者身上

你前面的观点其实有些我是非常同意的??建议LZ回去多看一些有关域的和活动目录的资料（只是不要误以为这些是足够的就行）

顺便回L14，
我本身并没有反对采用比工作组更好的管理模式的意思

关于炫耀的问题，我道歉，我的意思其实是想告诉LZ，说这话的是一个有多年系统集成经验的的人，至于他自己到底想怎么做还要看他自己的意愿。
我同意naboo 的意见，那是因为，我一眼就能看出他也是经验丰富的业内人士，而不简单是一个熟练的DIY（行家伸伸手，就知有没有）