首页
登录 | 注册

ISA与华硕无线路由低成本实现来访客户与局域网内用户隔离

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

 

  1. 本文通过微软的ISA2006和华硕的RT-N10+无线路由器结合。 
  2. 实现了一种廉价的外来访客与局域网用户内外隔离的方案。 
  3. 其中选用ISA2006是因为本案中需求简单,ISA2006系统开销也小,完全可以满足需求。 
  4. 选用华硕RT-N10+则是因为,它采用了Ralink的RT3050F方案,亮点是320Mhz高主频,
  5. 以及32M大内存,同时该机可以刷DD-WRT,扩展性也非常好。
  6. 经过测试,信号表现非常好,现在市售不含税价格在100RMB左右。 

目的:

随着公司业务的开展,不可避免的会遇到有外来用户(访客、合作伙伴等)来公司办公区域上网的情况。由于公司网康设备的存在,外来用户上网步骤非常繁琐,需要先提供自带设备的MAC地址,连入网络的IP地址,再由网络工程师对该IP进行免认证或其他相应权限的设置。同时外来用户来去自由,对这些IP资源不好监管。

更重要的是,外来用户接入网络后,可以直接访问公司的内部资源,如文件共享、打印共享,以及其他用户的计算机共享等,存在较大的安全隐患。

为此,急需一套解决方案来处理这种外来用户与内网隔离的问题。既要保证外来用户上网方便,又要保证内网资源不被外网用户轻易获取。

 

 

实践

实现该设置最简单和直观的方法是在核心交换上某个端口划分新的VLAN,实现内外网隔离,同时重新完成综合布线,在物理上与无线路由/AP进行连接。由于公司网络已近成型,这种方法耗时长,变动大,成本高,优点是可靠性高。

因此对以下的几种方法进行了尝试,寻求逻辑上解决的办法。

1首先是第一种方法,通过ISA2006作为内网的一台代理,为无线路由器提供网关功能,使其对外访问时先经过ISA.ISA2006的网关指向飞塔400A(新世纪主干网络接入)。

其中无线路由器使用NAT方式联网,即LANWIFIWAN不在同一网段,使用WIFI的网络设置代理上网时,ISA2006即可作为飞塔400A之前的又一道防火墙,强制对无线路由器进行规则限制。

由于在物理链路上,无线路由器网关被指定在ISA上,用户必须通过无线路由器NAT之后进行网络访问,不可能通过手动修改IP配置信息的方式跳过ISA的规则限制。


  

虚拟机中将ISA设置为单一网络适配器模式。

防火墙规则中默认是禁止所有访问,由于需要禁止所有内网访问,所以需要做一条规则禁止访问所有的内网网段地址(包含所有出站协议→从所有网络至特定网络组),ISA可以设置地址范围,如192.168.2.1-192.168.2.250,同时多个地址范围可以包含在一个地址组内。


再设置一条允许互联网访问的策略即可。(包含所有出站协议→从所有网络至所有网络,开放常用协议,如邮件、http等。)

缺点:测试环境将无线路由器和ISA2006放置在同一个网段,一切正常。然而在将服务器放到0段机房时,则无法正常使用。原因是客户在提交访问信息后,路由并没有从源地址→核心交换→0ISA→核心交换→外网,

而是源地址→核心交换→外网。

因此在跨网段的情况下,无法采用这种方案。尽管可以通过每个网段部署一台ISA来实现上述功能,但成本和管理性上不尽人意。

 

2上一种方法的弊端在于不适用于跨网段的环境使用。因此折中了一下,允许外来用户正常接入,但如果要上网,则需经过ISA设置的VPN出去。

设备结构如下。用户在手动拨VPN后,则被ISA的规则限制,无法访问内网,只允许访问Internet,如下方VPN线路所示。

  

用户未手动拨号,直接从上方线路通过,可以访问内网资源。但因为有内网审计系统,没有账号密码的情况下,无法访问互联网。


用户拨通VPN,逻辑上是先通过ISA,再上网,由于经过ISA,因此可受到规则限制。

缺点:物理上没有隔绝用户访问内网资源,外来用户要么访问互联网,要么访问局域网,不可同时进行,一定程度上降低风险,但还不完美。

 

 

3上一种方法还是有些美中不足,因此决定将VPN这个拨号动作交由路由器本身完成。无线路由RT-N10+在刷完DD-WRT固件后,已经有了VPN拨号的功能,同时拥有流量监控等简单的功能。

WAN进行必要的设置后,验证了确实可以通过无线路由器进行VPN的拨号动作。同时路由也按照预期的路径来完成了。

第一个地址为路由本身的地址,第二个地址为ISAVPN所提供的网关。

和上种方式一样,进入VPN后,受到ISA限制,不同的是,接入后不需要用户进行VPN拨号的动作。

缺点:由于WAN口需要使用PPTP进行拨号,不采用DHCP分配就无法连接成功,因此管理稍有不便。但依然可以由DHCP服务器绑定其IP

 

 

 

总结:

最终使用的资源如下:

相应个数的无线路由器RT-N10+,用以提供无线信号和VPN拨号动作;0网段部署的ISA虚拟机一台,用以实现VPN和代理路由的功能。

实现的功能如下:

无线路由器对外提供受控的网络访问,只允许访问外网,不允许访问内网。

无线路由器所提供的LAN口访问同样受限。

无线路由器经过一次设置后,可以在公司任何楼层使用,不需因为VLAN变换而作任何配置,即插即用。

优点如下:

不使用VLAN进行硬件端口物理隔绝,节省投资,实现效果相同。

部署方便,无线路由器可以根据来访客户实际情况,安装在公司内的任意地点。

 

本文网址:http://www.bnee.net/article/39327.html

相关文章

  • 高可用性依托于硬件成本和冗余技术,其实Exchange 2007最大的卖点就是在高可用性上--LCR/CCR/SCR/SCC*,这四种全新的高可用性技术.或许到现在为止用的最多的还是SCC,LCR/CCR 在RTM版本中提供,但是由于缺乏案 ...
  • 1.4 企业WLAN需求分析随着智能移动终端的增加,企业BYOD的普及,高质量的WLAN已经成为企业移动办公的刚性需求. 而在具体的应用过程中企业WLAN包含以下具体的需求: 1.4.1 企业WIFI安全接入随着企业信息化建设和国家信息化工 ...
  • --2003年旧文  国内房地产的发展也经历了不同的阶段,不同阶段的房地产公司对信息化的需求也是不同的.从整个全国的房地产市场来看,深圳房地产是最成熟最具有竞争力的市场,所以深圳地产的信息化发展也基本代表了国内房地产的发展.深圳地产业内,信 ...
  • 局域网发展史 --网络工程师联盟(CCNU)     在最近的25年间,以太网已从4800bps争用型无线电道传输系统发展到最普及的局域网络标准,并能在无屏蔽的双绞线上每秒传输100兆位的信息.以太网的发展史是如此的吸引人,以致于无数的技术 ...
  • [原创]ASUS RT-N11+使用体验
    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://blog.chinaunix.net/space.php?uid=16829731&do=blog&id= ...
  • CentOS7 搭建企业级NFS网络文件服务器
    NFS简介:NFS(Network File System)即网络文件系统,最早是由Sun Microsystems在内部作为实验完成开发,是第一个构建于IP协议之上的网络文件系统,主要功能是通过TCP/IP在不同主机系统之间共享资源(文件 ...
  • 现在用微信公众号推广的人越来越多了,但是很多人都是‌‌用的公众号后台自带的那一套工具,虽然也能满足大多数要求,但是对于有多个公众号要管理的人来说就有点不够用了. 今天给大家推荐一款用过的微信公众号多客服系统--鱼塘微营销系统,鱼塘微营销系统 ...

2019 bnee小站 webmaster#bnee.net
12 q. 0.030 s.
湘ICP备19013596号-2