Opsætning af Firewall og ander sikkerhed.

Du bør ikke placere din firewall pa samme maskine som de servere du vil beskytte. Firevallen bør/skal placeres på en maskine du placere mellem dti eget net og routeren.

Opsætning af firewall afhænger helt af hvilken firewall vi taler om og hvad dine krav til denne er.

Hvis du vælger at have usikre tjenester kørende, bør du bruge DMZ og placere disse usikre tjenester på DMZ benet.

Ip routning er en nødvendig del at dit netværk, men det har for så vidt intet med firewall og beskyttelse. De fleste routere i dag, indeholder faciliteter som producenten gerne vil kalde fireall, men den holder ikke i den virklige verden

Jeg tænker ikke på en fysisk Firewall eller PIX, men en Software Firewall på Serveren.

På WAN siden sidder Serevren direkte på en ADSL forbindelse og LAN siden en Switch.

/peter

Som bufferzone allerede har skrevet, så bør du ikke køre firewall på din server, men en selvstændig maskine.

Sikkerhed er mere og andet end bare en firewall. Faktisk virker firewallen i bedste fald dårligt hvis resten ikke er i orden. her er lidt at starte på.

Dit styresystem skal patches, updates og tweakes. Sørg for at alle sikkerheds patches og updates fra MS er installeret. Sørg for at tweake dit styresystem med de anbefalinger du finder på www.cert.org, www.nsa.gov og www.sans.org.

Dine applikationer skal samme som ovenstående, alle dine applikationer. Hvis du f.eks. har officepakken installeret, kan sikkerhedshuller i den ødelægge din sikkerhed.

Når alt dette er i orden, kan vi tale om en firewall

Jeg har kort kigget på de links du sendte, men det sagde mig ikke meget. Kan du kort forklare hvad "Tweaks" går ud på?

/peter

Jeg vil gerne hjælpe dig med at installere og opsætte en NAT routing af din forbindelse, der samtidig virker som en meget effektiv firewall. Programmet der bruges hedder WinRoute Pro  www.winroute.com.
Det kan være lidt tricky at installere, hvis man ikke er helt i familie. tilgengælde lukker det samtlige porte undtaget dem man selv ønsker åbnet. Iøvrigt er det rigtigt at du samtidig skal have opdateret diverse sikkerhedspatches etc.

Hej Peter og I andre.

Se lige mit spørgsmål http://www.eksperten.dk/spm/273510

Peter: Hvis jeg får nogle fornuftige resultater ud af det må (og alle andre) gerne få en kopi af det. Og undskyld jeg sådan bruger dit spørgsmål som springbrædt.

Mht. sikkerhed har jeg talt med en Cisco certificeret klog mand fra WM-data, som siger følgende:

Der findes to former for Firewall - en "filter Firewall" og en Statefull Firewall. En "filter Firewall" lukker bestemte porte og lader andre stå helt åben.

En rigtig Firewall er en Statefull Firewall hvor al trafik udefra og ind er lukket. Hvis trafik skal ind skal det være en session indefra der åbner og venter på svar.

Han anbefaler en Cisco 501 Firewall. Benytter samme software som de store Firewalls og er færdig konfigureret lige til at sætte ind mellem WAN og Server. Pris ca. 4000,- + moms. Denne løsning valgte jeg.

/peter

Den kloge mand fra cisco har ret, selvom han forenkler meget, efter min mening for meget. Jeg plejer selv at sige at der findes 3 typer firewalls.

Pakke filtrerings routeren, stateful inspection firewallen og applikations proxy firewallen.

Cisco 501 er en fin stateful inspection firewall til det lille kontor eller hjemmebrugeren, den kan jeg helt sikkert anbefale.

Det kan også være at det er mig der forenkler lidt. Men jeg har godt nok ikke hørt om en applikations proxy firewallen.

Hvad gør den?

P.S. de oplysninger jeg gav ham var: én server til deling af filer + Internet og 5 klienter.

/peter

Her er lægmandsforklaringen

filtreringsdrouteren er som at sætte en kombinadions lås på døren, alle der kander låsen kommer igennem

Stateful inspektion er som at ansætte en dørmand, der lukker alle ind der har tilladelse til at komme (eller kan få det til at se ud som de har en tilladelse inde fra)

Applikations proxyen er som at give dørmanden mulighed for gennemlysning, foretage rektalundersøgelse (ja det er i rø....) dna kontrol og andet.Dette kvæver jo noget mere an boksen end det andet

Bufferzone: Applikationsproxyen lyder som om det er et af svarene på mine problemer / ønsker i spørgsmålet http://www.eksperten.dk/spm/273510. Hvis du ved hvor man kan læse mere om den, og evt. installationsinstruktioner og lign, så er der også point at hente fra mig.

Jeg skal lige kikke, jeg tror jeg har noget matierale liggende om firewalls og andet, jeg skal også på kursus i internet sikkerhed meget snart, så hold bare spørgsmålet åbent, så ser jeg på det