Firewall mellem 2 netværk

Det kan du sagtens og det er klogt at gøre. Du kan/bør gøre det således hvis du vil sikre net B.

Du placere en firewall foran net B. De maskiner der skal kunne tilgås både fra net A og net B placeres i DMZ. Dette betyder at firewallen skal kunne håndtere DMZ (3 netkort).

Om du køber en decideret firewall, eller en router der har dmz muligher er et spørgsmål om sikkerhedsniveau. Du kan sagtens lave en løsning med en router, det giver bare lidt lavere sikkerhed end at gøre det med en Rigtig firewall og en router.

Firewall løsningen behøver ikke være dyr og kombliceret. Det kan gøres med en linuxboks og f.eks. en smoothwall (http://www.smoothwall.org)

Nu skal jeg se om jeg har forstået det rigtig....
Hvis jeg skal lave DMZ så skal jeg vel have en 1 ekstra maskine alligevel ik??
Samt at hvis jeg køber en Firewall router, så er det vel nok at købe en som kun understøtter TCP/IP protokol da jeg kun skal blokere bestemte IP adr.??

Grunden til at jeg ik vil bruge penge på en ekstra manskine er, at der allerede er 16 maskiner i netværk B og der er simpelthen ik mere plads, samt har ikke fri Økonomi :-)

Med Firewall Router skal jeg vel også investere i en switch?? for sådan en router har jo kun 1-2 udgange.??

Ikke nødvendigvis. DMZ håndteres af firewallen, dvs hvis du bruger en linux løsning, skal der opstilles en maskine med linux og 3 netkort til at køre firewall med DMZ (hvor dmzen er det tredie netkort)

Hvis du køber en router/firewall kan den fås med 3 netkort. Der skal så selvfølgelig en switch til at håndtere selve nettet, men det har du vel allerede nu.

Hvis du er lidt i tvivl om begreberne, har jeg skrevet et par artikler om både firewalls, routere og switche

http://www.eksperten.dk/artikler/index.phtml?users=bufferzone

Routeren kan andet og mere end blot at blokke ip adresser. Routere er normalt det der kaldes pakkefiltrerings routere, derfiltrere på ip adresser, porte, flag og andre header oplysninger. Hvis du vil have bedre sikkerhed, investere du i en stateful inspection router, der så også kikker på state af de pakker der passere

ok... takker for hjælpen!
Det er vel nok hvis jeg trykker på "Accepter" så du få din points??

Helt fint, takker for point, hvis der nu er mere, så vender du bare tilbage

det lyder kanon.... thx m8

kom lige i tanke om at den switch jeg bruger er HIRSCHMANN.... ved ikke om du kender den??
Men der står noget med IP Access muligheder.... mon ikke at det er næsten det samme som en Access-Control-List??? altså at jeg kan give adgang til bestemte ip osv??
For så begynder det jo at være tæt på at jeg "næsten" kan sikre adgang til den del af netværket den vej rundt??

Jeg kender ikke navnet. IP access muligheder kan selvfølgelig være en slags ACL, men det kan også være VLAN (Level 2 eller level 3) Hvis switchen harværet dyr, er level 3 bestemt en mulighed. Her kan du opsætte virtuelle LAN via IP adresser. Level 2 VLAN kører via switch porte. Dette kan du faktisk bruge som en slags dmz, dvs, placere de maskiner der skal kunne tilgås fra begge net i sit eget VLAN

Ja de har været pæn dyr :)
De er industri switche.... kan være jeg måske burde rode med det før jeg investere penge i alt muligt.