segmentering av företagsnät

Hej,

Vi ska ta hem vissa webtjänster från molnet (bla webhotell för testning av utvecklingsprojekt till kunder). Idag har vi ett helt platt nätverk utan segmentering. Dessa webbtjänster är tanken att vi nu ställer i DMZ. Vidare så har vi ett customer network som vi tänker ställa våra databaser i, som kunder får ansluta till endast genom VPN. Samt ett internt-nätverk där vi har i princip ställer backup och AD. (se jpg).

Är detta best-practices för ett bolag på ca 100 anställda? Några tips? vi har inga "special-krav" så tror man kan resonera enligt skolboken
(Vi väljer framförallt Cisco-utrustning då det är den kunskap som finns i huset.)

http://forumbilder.se/show.aspx?iid=c77201245632A92a8

Zone rules

Internet TO DMZ : Allowed
Internet TO Customer Network: Allowed only for Customer with VPN
Internet TO Internal Network: Allowed only for for Co-workersto to a particualar VLAN project group

DMZ TO Internet: Allowed
DMZ TO Customer Network: Not Allowed
DMZ TO Internal Network: Not Allowed

Customer Network TO Internet: Allowed
Customer Network TO DMZ: Allowed
Customer Network TO Intermal Network: Not allowed

Internal network TO VLAN project groups: Not Allowed
Internal Network TO Customer Network: Allowed
Internal Network TO DMZ: Allowed
Internal Network TO Internet: Allowed

Stort tack

inga förslag på ideer? Hur brukar ni segmentera mindre företag, mellan webbservrar, kundnät och de anställdas nät?

aaa, smart. Frågan är om det kanske är bäst att replikera databaserna från customer zone till DMZ? På det sättet behövs ingen öppning mellan DMZ -> Customer zone.

Jo precis. Men webbservrarna (innehållande utvecklingsprojekt) i DMZ behöver kommunicera med databaserna på något sätt. Ställer jag ut databaserna i DMZ så försvinner halva saken med segmenteringen?

Kanske är lättast att tvinga kunderna använda point-to-point VPN till ett kundnät, innehållande webbserver och databas?

jo bra idee, några VLAN kan man ha, beroende på vilken databas de behöver accessa. Typ ett för MYsql 2008, ett för 2005, ett för IIS

aa, den brandväggen skulle jag mycket gärna vilja köpa in, men vet att min chef skulle få hjärtattack när jag visar prislappen. Har nog cirka 6k för en brandvägg att spendera Något förslag på någon annan cisco brandvägg i dom måtten? Räcker om den klarar av att hålla cirka 10 IPSEC tunnlar samt orka med filtrera internettrafiken för en 10mbit lina.

Aaa loggar är smart för varje zon. Finns inte ekonomiska möjligheter för att sätta flera applicance brandväggar, då blir det opensource-lösningar på en gammal PC isåfall.

väldigt irriterande, verkar som man behöver köpa ett servicekontrakt från Cisco om man vill kunna använda de senaste programuppdateringarna? (det är självklart att man måste ha senaste uppdateringarn, absurt att man måste betla extra för det) Någon som har ett riktpris för vad det kostar?

En routing fråga på brandväggen.
Jag har idag 5 ip nr. Tanken är att DMZ ligger på ett separat interface med en koppling till en switch, så att 3 webbserver ska kunna ha ett eget publikt ip nummer.
Ett av dessa IP nummer ska interfacet til kundnätet ha, och det sista ska interfacet till mitt interna nät ha.

Kommer det verkligen gå att konfigurera så att jag kan ha tre interface med olika IP nummer men alla inom samma nät som jag får av ISPen? Antar att det inte går, hur brukar ni göra?