tenemos la intención de construir una red en un pequeño centro de salud con Sin acceso a Internet
se espera que tenga 30 máquinas terminales , todas las máquinas utilizarán una aplicación web de registro médico electrónico
queremos "ocultar" la aplicación detrás del firewall
Actualizado para tener en cuenta el cero acceso a Internet:
Como ha mencionado, el conmutador puede configurarse para enrutar el servidor ISA para separar la aplicación de los usuarios. Desde su modelo, espera que la ISA ejecute una VLAN pública y privada a través de su conexión al conmutador.
Más típicamente, tener un firewall dual se considera más seguro, ya que el tráfico en cada red está separado físicamente por el firewall. Pero, básicamente, el servidor de aplicaciones se conectará a ISA en un puerto de red para el lado "protegido", y un puerto de red en el lado de "usuario" de ISA se conectará al conmutador.
Obviamente, puede utilizar las listas de control de acceso en el conmutador para proporcionar controles adicionales, sin embargo, esto puede ser todo lo que necesita en términos de infraestructura.
Un riesgo a considerar es la probabilidad de que una PC sea atacada en su entorno. ¿Se dejan desatendidos? ¿Y desbloqueado? Su infraestructura puede no ser suficiente.
editado para decir: si los datos médicos / personales se encuentran en el servidor, y usted se encuentra en un país con regulaciones estrictas en esta área, es posible que deba usar controles más estrictos.
Dos pensamientos:
¿Pueden las máquinas terminales comunicarse entre sí? Puede existir el riesgo de que una terminal supervise la comunicación de otra. Hay dos cuentas de usuario, por lo que debe haber datos segregados. El interruptor ayuda a mitigar esto, pero puede ser derrotado.
¿Qué tan difícil es conectar un pequeño enrutador wifi de bolsillo al cable Ethernet conectado a la parte posterior de los terminales? Eso le daría a alguien acceso remoto para pasar el tiempo atacando.
Lea otras preguntas en las etiquetas web-application firewalls network