Локальная сеть предприятия, совет?

Question

[Андрей Бойченко]

Добрый день! Уважаемые специалисты расскажите, дайте несколько советов пожалуйста о том как такую систему можно изменить на сеть, в которой можно:
• Смотреть в каком браузере, на каком сайте находится любой из участников сети.
• Запретить конкретному компьютеру доступ к конкретному сайту/списку сайтов.
• Просмотр подключенных USB устройств в сети и к какому клиенту подключен USB
Сейчас есть сетевая папка, но права на ее использование у всех одинаковы, допустим нужно создать N папок и
• определить права доступа только определенным участникам сети
Есть неуправляемый коммутатор от которого идут кабеля к компьютерам в сети. Какую выбрать ОС и какое доп оборудование необходимо докупать? Я не технический специалист, мне просто интересно как все это можно реализовать. Спасибо большое

Comments

[Сайпутдин Омаров]

все перемещено, можете к читабельности привести по подпунктам расписать.

[Андрей Бойченко]

Сайпутдин Омаров: поправил, спасибо за замечание.

[АртемЪ]

Андрей Бойченко Вопрос слишком общий.
Более менее внятный ответ займет более тысячи страниц.
Поэтому либо идите учиться, либо наймите специалиста.

Answer 1

[Евгений]

В общих словах:

• Смотреть в каком браузере, на каком сайте находится любой из участников сети. - Поставить прозрачный прокси на пограничном роутере (том, куда подключен кабель провайдера)
• Запретить конкретному компьютеру доступ к конкретному сайту/списку сайтов. - В качестве пограничного роутера использовать что-то вроде pfSense
• Просмотр подключенных USB устройств в сети и к какому клиенту подключен USB - Корпоративные решения такого плана есть у Касперского или гуглить "DLP"
• Сейчас есть сетевая папка, но права на ее использование у всех одинаковы, допустим нужно создать N папок и определить права доступа только определенным участникам сети. - Использовать Active Directory или аналогичное решение

Есть неуправляемый коммутатор от которого идут кабеля к компьютерам в сети. Какую выбрать ОС и какое доп оборудование необходимо докупать? Напрашиваются управляемые коммутаторы, про ОС непонятно - ОС для рабочих станций или для чего?

Comments

[Андрей Бойченко]

ОС для компьютера с которого будет проводиться мониторинг и настройка. Я так понимаю этот компьютер именуется "Сервером" ?

[Евгений]

Андрей Бойченко: если речь идет о контроле и мониторинге доступа в интернет, я бы сделал сервер на pfSense. На схеме нарисованы только рабочие станции и ноутбуки. Какие-то сервера сейчас вообще есть? AD? Файловые? Вообще с такими вопросами надо не на Тостер, а на UpWork

[Андрей Бойченко]

Евгений: есть компьютер на котором есть папка(общая для всех членов сети), но тот пк ничем не отличается от других клиентов сети.
Есть желание сделать хотя бы часть самостоятельно, руки не из одного места. Изучать литературу думаю не в тягость будет.

[Евгений]

Андрей Бойченко: слишком большой объем и сразу в продакшен. Я бы не рисковал. Но если бы я делал: поднял бы два контроллера домена, пограничный роутер на pfSense.

Answer 2

[Армянское Радио]

Задачи, связанные с интернетом - решаются конфигурированием интернет-шлюза. Шлюзы бывают как платные, так и бесплатные. Шлюз - это либо выделенный компьютер, либо - виртуальная машина, либо - отдельное устройство.

Отслеживание USB - устройств - нужно искать такое решение, навскидку ничего путного не приходит.

Раздача сетевых папок - это удобно делать при помощи Active Directory. Другой вариант - поднять локальное облако, вроде ownCloud.

Разделение сети на участки - нужен управляемый коммутатор с поддержкой VLAN.

Для вас, как нетехнического специалиста, вопрос состоит в найме толкового технического специалиста. Это лучше, чем возится с аутсорсинговой компанией.

Answer 3

[Сайпутдин Омаров]

imho^
1. Если НАТ для них одно из прокси серверов (к примеру Squid)
2. п.п.1
3. с помощью AD можно закрыть и собрать сведенья
4. С помощью AD (для этого существует GPO)
Реализовать -это можно с помощью PfSense+AD (WinServer 2012r2)!
Путей решение многое кол-во вплоть до части вопросов коробочных решений.
У вас прекрасная возможность продумать и решить. Но лучше нанять на проект специалиста.
Если детализировать и описать ТЗ, подскажут цену вопроса и сроки реализации.
Я бы посоветовал управляемый комутатор от cisco\dlink, что бюджет позволит
1. для SSID чтоб выделить другой влан captive portal с авторизация LDAP\802.11x (Radius) (это может pfsense)
2. в будущем SIP выделить другой vlan
3. не вижу сервера в картинке, выделить в DMZ зону все возможные сервера!