Mustafa Taşdemir Bey merhaba,
Mustafa Aksu haklı. Bizim diğer yazdığımız tavsiyeler tamamen konfigürasyon değişikliyle halledebileceğiniz bir çözüme yönelikti. Bu işin en doğrusu Proxy cihazınızı internet çıkış fwunuzun DMZ'ine koyup FW üzerinde aşağıdaki şekilde konfigürasyon yapmak;
1-Proxynin dinlediği bir port belirleyin. Örn.8080
2-İçeriden Proxy'ye sadece 8080'den erişim için izin verin FW üzerinde (bunu yaparken sizin yönetim için eriştiğiniz başka port varsa kendinize bunun için de izin verin)
3-Proxy'den dışarıya sadece 80, 443, 21 için izin yazın FW'da.
4-FW'da bir alt satıra heryerden her yere 80, 443 ve 21 için drop yazın.
Not: Ayrıca eğer şirket politikalarınıza aykırıysa kullanıcıların evden bilgisayar getirip iç networkünüze bağlamamaları gerekiyorsa switchlerde MAC filter uygulayın. Evden gelen bilgisayarların ne kadar güvenli olduğunu bilemezsiniz. Her gelenin şirket ağına bağlanması sizin için büyük risk oluşturabilir.
Saygılarımla.
Ömer Faruk ALTUNDAL.
- On Tue, 4/21/09, Mustafa AKSU <mustafa_aksu_at_yahoo.com> wrote:
From: Mustafa AKSU <mustafa_aksu_at_yahoo.com>
Subject: RE: [cisco-ttl] İnternet çıkış kontrol
To: cisco-ttl_at_yahoogroups.com
Date: Tuesday, April 21, 2009, 7:00 PM
Mustafa Bey,
Öncelikle Internet gateway'i kullanıcı network'üne dahil olmamalı. Proxy server'ınızın dış bacağı Internet gateway'iniz ile aynı izole bir network'e alınmalı.
Sizin yapınız için değil ama daha büyük yapılar için söylüyorum. Dahili networklerde asla Internet routeları bulunmamalı. Internet gateway'i default route olarak verilmemeli. Internet'e ancak proxy server çıkabilir. Diğer cihazlar IPsi ile proxy server a ulaşır.
Saygılarımla,
Mustafa AKSU
[Non-text portions of this message have been removed]
[Non-text portions of this message have been removed]
Received on Fri Apr 24 2009 - 00:58:51 CEST