Hej Alle Sammen ! Jeg går for tiden og overvejer at installere en server, som firewall(+ vpn) ved at bruge ISA server. Jeg er ansvarligt for et mindre netværk, som har 32 globale IP adresser.
Nu er det mit spørgsmål lyder: Kan jeg route globale IP’er med ISA uden at lave en DMZ !
Jeg havde tænkt mig noget i følg. stil:
(Internet) | [x] Adsl router [x] | [x] ISA server [y][x] | (Switch)----->[y][x]Web Server | | | | | ------->[y][x]PDC server | | ------->.....osv...... | [y] Wireless AccessPoint (til clienter)
Hvor ip’erne er som følg.
[x] = global IP (xxx.xxx.xxx.xxx / 255.255.255.224) [y] = lokal IP (10.0.yyy.yyy / 255.255.0.0)
Jeg vil med andre ord, sørge for at clienterne kan forbinde til fx PDC fordi har en lokal IP på samme subnet, som clienterne.
Jeg vil så bruge ISA serveren til at publicere visse services på serverne til internettet via routning af deres globale IP’er.
Desuden skal ISA serveren være gateway for clienterne via dens lokale IP.
Håber I forstår hvor jeg vil hen. Og at I kan give mig nogle tips til at det kan lade sige gøre og hvis ikke så en alternativ løsning.
Ja du kan lave global routning og det har intet med DMZ at gøre.
DMZ er meget fornuftigt hvis du har usikre tjenester som Web, mail og ftp i dit netværk og du bør bestemt benytte dmz til disse tjenester hvis de både skal kunne tilgås ude og inde fra. Dette har intet at gøre med global rpotning, men alt at gøre med sikkerhed. Spørg endelig hvis du har brug for mere info
Det er som der er en smule tricky ved min opsætning er følg. [x] og [y] adresserne er på samme interface ved alle serverne, dvs. hver server har kun et netkort. Derfor skal jeg til at opsætte en masse regler for trafik ml. DMZ og den sikrede del, hvis jeg laver en DMZ opsætning. Hvis jeg derimod kan router fra wan interface til lan interface på ISA serveren, så kan jeg nøjes med at publicere følg. -4* http server. -1* mail server.
Serverne behøver kun et interface, det er firewallen der skal have tre.
1 netkort til Internettet (d.v.s. fra friewallen til routeren til internettet) 1 netkort til dit interne net (d.v.s. fra firewallen til f.eks. en switc hvor alle dine arbejdsstationer, dine fil-, database-, print-servere er placeret) 1 netkort til DMZ hvor din mail-, web og ftp- server er placere i en anden switch
Alle servere der kun skal tilgås indefra kan placeres på det interne nets segment, du skal så sikre dig at de servere der håndtere de farlige ting under ingen omstendigheder kan tilgås udefra, de skal være kukket totalt af
Men hele finden for mig er at undgå at lave en DMZ opdeling...
Jeg mener man kan vel som udgangspunkt lukke af for hele herligheden, for herefter at åbne for de enkelte services som skal kunne tilgås udefra... Det må være lige så sikkert som et DMZ.
Hele problamtikken ligger i at der på fx. min PDC også findes kører en webservice (men clienter kan ikke undgå at skulle tilgå denne server) Det samme gælder for mail, som er en exchange server...
Du bør dele det op og du bør placere de usikre tjenester på dmz. Hvis du kikker på cert rapporter over netværks intrutions, langt største delen af dem sker gennem web, mail eller ftp servere.
Du kan sagtens lave dit netværk uden dmz, det giver dig bare stærkt forringet sikkerhed
Jeg har stort set den samme opsætning som dig, uden problemer. Jeg har publiseret min webserver på internettet. Jeg har publiseret en gameserver.
Dog kører jeg med en POP3 klient til at hente alt min mail hos min udbyder. Der er intet i vejen for at ændre min MX record så posten blev peget direkte ud på min ISA's eksterne ip adresse og herfra blev sendt ind til min interne SMTP server.
Hvis du vil lave DMZ med en ISA server skal du bruge 2 ISA servere (ja du læste rigtigt, TO stk isa servere)
Du åbner kun de porte du ønsker i indgående retning (Web og SMTP). Hvis du ønsker 2 web servere publiseret, skal du enten have 2 eksterne/globale IP adresser, eller ændre den ene web server så den kører på en anden port, og så publisere denne.
Sikkerhed. Du skriver ikke om du kører MS eller Linux, men hvis du kører Microsoft, er det et spørgsmål om at holde sig opdateret med de seneste sikkerheds patches fra microsoft. Dette kan din server gøre automatisk via windowsupdate.
=> ole.madsen "Hvis du vil lave DMZ med en ISA server skal du bruge 2 ISA servere "
Det er da noget sludder du skriver her. En ISA kan lave DMZ ved hjælp af et 3. netkort. Det har jeg lavet en del steder og er langt billigere end din løsning.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
