Когда у меня возникли вопросы о практической организации защиты сети, я сделал просто - попробовал.
В в домашней сети был поднят на старом ПК виртуальный сервер на Proxmox PVE.
На нем крутился OpenMediaVault и пара тестовых машинок. Сеть на 5+ ПК и доступ извне для родственников, вполне себе площадка для тестов.
Для теста добавился сервер PFSense и виртуальный коммутатор от Proxmox, ядром сети является обычный Mikrotik.
Но как уже сказал каждый, сперва нужно понять требования сети:
1) Какие сервисы необходимо предоставить пользователям (просто прокси-сервер или требуется еще VPN-сервер для подключения из интернета).
2) Что именно требуется защищать? Есть 3 показателя Доступность, Безопасность, Достоверность. Необходимо найти баланс между ними. Например при ВПН подключении если клиент не поддерживает сильное шифрование, то его лучше пустить, чтобы ген.директор мог получить доступ или отклонить, чтобы злоумышленник не мог воспользоваться уязвимостью слабого шифрования?
3) Бюджет. Описанная выше схема собрана исключительно из OpenSource проектов Just-for-fun. Соответственно никто не гарантирует и не несет ответственности за своевременные патчи-безопасности и закрытие уязвимостей. В организации, по этой причине, мне не дали добро даже на внедрение инструментов управления типа Ansible, не говоря уже о средствах защиты. Да и грамотно настроенный Juniper SRX100 перекроет все возможности данной системы и даст фору в стабильности.
Поэтому в очередной раз говорю: "Нет волшебной программы, которая будет работать везде хорошо. Даже если у соседа она закрывает 150% потребностей, не факт что она поможет вам. Именно поэтому заданный вопрос не имеет ответа."
