我目前的設定有:
- 具有 4 個 NIC 且可能有第 5 個 NIC 的 pfsense 防火牆
- 1個48埠3com交換機,1個24埠HP交換機,願意購買更多
- 子網路 1) 邊緣(Windows Server 2003,透過路由和遠端存取實現 VPN)和
- 子網路 2) LAN,包含一台 WS2003 網域控制器/dns/wins 等,一台 WS2008 檔案伺服器,一台執行 Vipre 防毒軟體和控制用戶端電腦使用的時間限制管理器的 WS2003,約 50 台
我正在尋找一種將客戶和員工分開的網路設計。我可以做兩個完全隔離的子網,但我想知道兩者之間是否有任何東西,以便員工和客戶可以共享一些資源,例如印表機和防毒伺服器,員工可以存取客戶端資源,但反之亦然。我想我要問的是你可以像這樣設定子網路和/或 VLAN:
- 1)VPN邊緣
- 2)可供所有其他內部網路使用的服務
- 3)可以存取服務和客戶的員工
- 4)可以存取服務但不能存取員工的客戶
透過訪問/非訪問,我的意思是比網域使用者名稱和密碼更強的分離。
答案1
基於多種原因,網路隔離是一個好主意,使用者和資源的分離就是其中之一。
您沒有理由不能將不同類別/類別的使用者放入不同的網絡,並使用防火牆/路由器來協調這些網路之間的存取。 pfSense 完全有能力做到這一點。