我有一个非常简单的小型企业网络,我在大约 10 年前使用一对 Linksys 路由器建立了它。在过去几年中,随着网络流量的增加,路由器变得越来越不稳定。五年多来,这些设备都没有进行固件更新,所以现在是时候让它们离开了。
这是网络架构
WAN IP 192.168.1.4 192.168.4.1
Internet <------> DSL Modem <---------> Linksys A <--------------> Public Wireless AP (WDS)
^ ^
| | 192.168.1.2 192.168.2.1
| +------------------> Second Public Wireless AP
|
| 192.168.1.3 192.168.3.1
+---------------------> Linksys B (Intranet) <---> Switch
所有内网设备都通过 DHCP 获取 192.168.3.1/24 子网中的 IP 地址。所有公共访问都发生在 192.168.2.1/24 和 192.168.4.1/24 子网上。Linksys A 路由器配置为阻止公共子网和验证子网之间的流量。它还设置为将 SSH 连接从 WAN 转发到 192.168.3.x 子网。
我想用允许相同配置的单个设备替换 Linksys A 和 Linksys B 设备。
我目前正在考虑Netgear FVS318G或D-Link DSR-250。我看起来两者都可以以 100 美元到 150 美元的价格购买,这在我的理想预算中是正确的。
这些设备中的任何一个都可以处理这种网络配置吗?是否有理由偏爱其中之一?
此外,我有很多无线接入点在 WDS 配置中作为 dd-wrt 设备运行,所以我不反对购买不同的设备并使用替代固件进行刷新。
编辑
发现一些FVS318G不支持VLAN或Jumbo Frames的信息。此外,默认固件只允许两个内部子网(端口 8 上的 DMZ,部分 1 - 7 上的 LAN)。我认为这将消除它的考虑。
跟进
我最终购买了Routerboard 750。对目前的结果非常满意。
你的配置没那么复杂。如果您不想要它们,您真的不需要“专业消费者”NAT 路由器/防火墙盒。
你什么DO需要的是你的“公共”和“内联网”的网络适当隔离-你真的没有在这里(公共设备不能打你的内部网络的内部IP,但他们可以看到所有的流量,而你Intranet 可以攻击公共网络的 IP——这让你容易受到中间人攻击)。
我对您的建议是真正的防火墙解决方案。
Juniper 和 Cisco 提供商业产品,但如果您愿意自己支持解决方案,您也可以使用备用商品计算机和pfSense来实现。
您将需要三个 NIC(或两个 NIC 和内部支持 VLAN 的硬件),您的终端网络应如下所示:
[Internet]----[MODEM]----[Firewall]-------(Public network switch & Devices)
|
------------(Intranet switch & Devices)
配置防火墙以防止来自公共和 Intranet 网络的流量混合(作为单独的安全区域实施)。
| 归档时间: |
|
| 查看次数: |
174 次 |
| 最近记录: |