Задачи шлюза и план работ для реализации его задач.
Добавлено: 2008-02-28 16:40:09
Положу на форум, т.к. для себя писал. Для документации так сказать, что за сервер, чем занимается, как делал, и что там сейчас работает.
Шлюз (Gateway).
Описание задач того или иного сервера я начинаю с постановки задач, которые он будет выполнять. Их можно переделать в предпочитаемый вид и утвердить приказом. (Рекомендую, т.к. в этом случае руководство обязано выделить необходимые средства для реализации обозначенных задач и попутно берёт ответственность на себя, в случае чего.) В большинстве своём можно сказать просто, шлюз связывает локальную сеть(нашу) с глобальной (интернет), но у себя я постарался определить их более чётко.
Основные задачи:
1. Организация DMZ (особенный и жёстко изолированный участок сети) и контроль доступа в/из DMZ.
2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.
3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.
4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя за день, месяц, год)
Приемлемые потери:
А. Вследствие выхода из строя оборудования (возможно всего):
Потеря данных за последние на сутки, если они хранятся на самом шлюзе.
Б. Вследствие сбоя ПО или ошибки администратора:
Потеря данных за последние на сутки.
Срок службы:
Срок службы = сроку гарантии, но не менее 3-х лет. Дальнейшее назначение определяется системным администратором или его руководством.
Срок восстановления:
Максимальный срок восстановления всех данных и полной работоспособности - 3-и часа.
Средства контроля сервера:
1. Контроль работоспособности всех сервисов и перезапуск в автоматическом режиме.
2. Контроль критических параметров работы сервера: Загрузка CPU, сети, превышение количества открытых файлов, подключений, процессов, расходуемой памяти, объёме места на жёстких дисках, температурах и т.д.
Необходим график/отчёт о работе большинства критических параметров за любой период времени.
На основании реализованных выше пунктов принимается решение о модернизации сервера.
Сервера должны работать круглосуточно - 24 часа в день и 7 дней в неделю. (24/7)
После определения задач нашего сервера необходимо наметить план работы. Хочу заметить - именно план работы, а не размышления о возможном и невозможном, а также нужном и ненужном. Все размышления высказываются и корректируются уже в процессе реализации.
1. Организация DMZ (особенный и жёстко изолированный участок сети, демилитаризованная зона) и контроль доступа в/из DMZ.
Делаем с помощью файрвола (ipfw) соответствующие правила (разрешения, ограничения и т.п.). Делим на своих и чужих так сказать (определение своих и чужих в п.2). Что можно, что нельзя.
Обращаем своё внимание на то, что нельзя допустить возможность, чтобы из DMZ предполагаемый взломщик получил доступ к нашей локальной сети, и тем более шлюзу, который и обеспечивает работоспособность DMZ.
2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.
Думаем как лучше, по IP-Адресам, VPN или Winbind(LDAP) и т.д. мы будем определять кто, куда, что можно, что нельзя. Как будем блокировать, ограничивать, учитывать. Короче - что будем контролировать. (трафик, пользователей, компьютеры, какие-то другие интересные вещи). Суммарно или по каждому в отдельности?
3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.
В нашей локальной сети интернет пользователям (анонимным) делать нечего. А вот по VPN может быть и можно что-нибудь придумать. Возможно, VPN сервер внутри сети организовать.
Интернет пользователям доступ уже должен быть организован в п.1. Собственно DMZ для этого и предназначена.
4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя)
Тут речь только о статистике, будет она храниться на этом сервере или нет, будет этот сервер предоставлять эту статистику на обозрение руководству(пользователям, админам) или нет?
Приступаем к реализации нашего плана. Удачи.
Тут описываем всё что на шлюзе, что за сервисы, доступ и т.п. Для скорейшей реализации наших планов и существует сайт http://www.lissyara.su.
Шлюз (Gateway).
Описание задач того или иного сервера я начинаю с постановки задач, которые он будет выполнять. Их можно переделать в предпочитаемый вид и утвердить приказом. (Рекомендую, т.к. в этом случае руководство обязано выделить необходимые средства для реализации обозначенных задач и попутно берёт ответственность на себя, в случае чего.) В большинстве своём можно сказать просто, шлюз связывает локальную сеть(нашу) с глобальной (интернет), но у себя я постарался определить их более чётко.
Основные задачи:
1. Организация DMZ (особенный и жёстко изолированный участок сети) и контроль доступа в/из DMZ.
2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.
3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.
4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя за день, месяц, год)
Приемлемые потери:
А. Вследствие выхода из строя оборудования (возможно всего):
Потеря данных за последние на сутки, если они хранятся на самом шлюзе.
Б. Вследствие сбоя ПО или ошибки администратора:
Потеря данных за последние на сутки.
Срок службы:
Срок службы = сроку гарантии, но не менее 3-х лет. Дальнейшее назначение определяется системным администратором или его руководством.
Срок восстановления:
Максимальный срок восстановления всех данных и полной работоспособности - 3-и часа.
Средства контроля сервера:
1. Контроль работоспособности всех сервисов и перезапуск в автоматическом режиме.
2. Контроль критических параметров работы сервера: Загрузка CPU, сети, превышение количества открытых файлов, подключений, процессов, расходуемой памяти, объёме места на жёстких дисках, температурах и т.д.
Необходим график/отчёт о работе большинства критических параметров за любой период времени.
На основании реализованных выше пунктов принимается решение о модернизации сервера.
Сервера должны работать круглосуточно - 24 часа в день и 7 дней в неделю. (24/7)
После определения задач нашего сервера необходимо наметить план работы. Хочу заметить - именно план работы, а не размышления о возможном и невозможном, а также нужном и ненужном. Все размышления высказываются и корректируются уже в процессе реализации.
1. Организация DMZ (особенный и жёстко изолированный участок сети, демилитаризованная зона) и контроль доступа в/из DMZ.
Делаем с помощью файрвола (ipfw) соответствующие правила (разрешения, ограничения и т.п.). Делим на своих и чужих так сказать (определение своих и чужих в п.2). Что можно, что нельзя.
Обращаем своё внимание на то, что нельзя допустить возможность, чтобы из DMZ предполагаемый взломщик получил доступ к нашей локальной сети, и тем более шлюзу, который и обеспечивает работоспособность DMZ.
2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.
Думаем как лучше, по IP-Адресам, VPN или Winbind(LDAP) и т.д. мы будем определять кто, куда, что можно, что нельзя. Как будем блокировать, ограничивать, учитывать. Короче - что будем контролировать. (трафик, пользователей, компьютеры, какие-то другие интересные вещи). Суммарно или по каждому в отдельности?
3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.
В нашей локальной сети интернет пользователям (анонимным) делать нечего. А вот по VPN может быть и можно что-нибудь придумать. Возможно, VPN сервер внутри сети организовать.
Интернет пользователям доступ уже должен быть организован в п.1. Собственно DMZ для этого и предназначена.
4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя)
Тут речь только о статистике, будет она храниться на этом сервере или нет, будет этот сервер предоставлять эту статистику на обозрение руководству(пользователям, админам) или нет?
Приступаем к реализации нашего плана. Удачи.
Тут описываем всё что на шлюзе, что за сервисы, доступ и т.п. Для скорейшей реализации наших планов и существует сайт http://www.lissyara.su.