現在の設定は次のとおりです:
- 4つのNICと5つ目のNICを追加できるpfsenseファイアウォール
- 48ポート3comスイッチ1台、24ポートHPスイッチ1台、さらに購入予定
- サブネット1)エッジ(ルーティングとリモートアクセスによるVPN用のWindows Server 2003)と
- サブネット2) WS2003ドメインコントローラ/DNS/WINSなど1台、WS2008ファイルサーバ1台、Vipreアンチウイルスとクライアントコンピュータの使用を制御するTime Limit Managerを実行するWS2003 1台、および約50台のPCを備えたLAN
クライアントとスタッフを分離するためのネットワーク設計を探しています。完全に分離された 2 つのサブネットを作成することもできますが、スタッフとクライアントがプリンターやウイルス対策サーバーなどのリソースを共有し、スタッフがクライアントのリソースにアクセスできてもその逆はできないような中間の何かがあるかどうか疑問に思っています。私が尋ねているのは、サブネットや VLAN を次のように構成できるかどうかです。
- 1)VPN のエッジ
- 2)他のすべての内部ネットワークで利用可能なサービス
- 3)サービスやクライアントにアクセスできるスタッフ
- 4)サービスにはアクセスできるがスタッフにはアクセスできないクライアント
アクセス/非アクセスとは、ドメインのユーザー名とパスワードよりも強力な分離を意味します。
答え1
ネットワークの分離は、ユーザーとリソースの分離など、さまざまな理由から優れたアイデアです。
異なるクラス/カテゴリのユーザーを異なるネットワークに配置し、ファイアウォール/ルーターを使用してそれらのネットワーク間のアクセスを仲介できない理由はありません。pfSense は、これを実行できる十分な能力を備えています。