09. december 2004 - 09:52Der er
4 kommentarer og 1 løsning
Konfig af ISA 2004 med 2 netværkskort
Hej
Jeg skal sætte en ISA 04 op, og vil bruge den som ekstra firewall mellem vores PIX firewall og LAN'et. Derfor har maskinen 2 netværkskort, og jeg vil køre pix og LAN på hvert kort med hver sin IP-adresse.
Jeg efterlyser gode ideer og best practice omkring opsætning, specielt hvordan jeg sætter de 2 IP-adresser i inderside/yderside ben, samt hvordan jeg router trafikken mellem disse.
Min tanke er, at ISA'en jo er "application-aware" hvilket jeg gerne vil udnytte til at "smage" på den trafik som PIX'en tillader på de autoriserede porte. Oven på den lægger jeg så Trend Micro's Intersca VirusWall, som fungerer rigtig godt (redder mig ca. 1 gang om måneden for HTTP-baserede vira, fordi vores ingeniører liiiige skal ind og snuse på en tvivlsom hjemmeside).
Der er masser af point, ikke fordi det svært, men fordi det er vigtigt for mig. Mvh, Thomas
Der er flere muligheder. Jeg tager som udgangspunkt at PIX fungere som router. Hvis ikke kan du stadig bruge nedenstående, men når jeg så skriver PIX mener jeg din yderste router :)
Én løsning kan være at sætte ISA til at køre NAT. Så du kan mellem PIX og ISA lave et 10.10.0.0/24 netværk.
På LAN kan du så bruge 192.168.1.0/24 (du kan selvfølgelig vælge de IP områder som du selv lyster. Det letteste vil være at bibeholde dit nuværende IP område på LAN for ikke at skulle skifte det på alle klienter.)
En lidt bedre løsning vil efter min mening være at du stadig laver du netvækrk (ét til LAN og ét til PIX/ISA).
Hvis ISA får IP'erne 10.10.0.2 og 192.168.1.1 skal du så på PIX tilføje at routen til 192.168.1.0/24 sker gennem 10.10.0.2.
Jeg håber du kan se hvad jeg mener... Ellers må du skrive lidt mere :)
Mmm, jeg er nødt til at bibeholde mine interne IP-adresser, da vi er en del af et globalt netværk (10.0.0.0-adresser). Vi har 2 netværk - et dansk ud mod internettet og et lukket (Global ISP med lukket net som VPN-ben ned til Tyskland).
Men PIX og ISA står ud mod internettet, og den skal dels skille intern og ekstern HTTP-trafik ad og dels beskytte os mod det offentlige internet (leveret af TDC). NAT sker idag i PIX'en (ud fra at den beskytter den interne adresse og udsender en offentlig adresse) hvilket er nok.
Det er måske lidt overkill med 2 firewalls, men ISA'en blev primært anskaffet for at bruge proxy-delen, men jeg kan jo ligeså godt bruge firewall-delen ordentligt også.
Hvis det er for at bruge den som proxy (hvilket også giver dig muligheden for at kigge på http trafik) kan du godt nøjes med et enkelt netkort i ISA. PIX'en kan du så konfigurere til kun at tillade udgående trafik på port 80 fra ISA'ens IP.
Alle klienter er så tvunget til at bruge ISA som proxy.
For at bruge firewall delen er det selvfølgelig nødvendigt med det ekstra netkort.
Som jeg ser det vil du lave følgende opstilling:
LAN -> ISA -> Netværk mellem ISA og PIX -> PIX
Bruges PIX så både som adgang til internettet og som VPN endpoint mellem Jer og Tyskland? Hvor meget kontrol har du selv over PIX og jeres internet router?
tomdane...> Det kan godt være du synes det er overkill, men Microsoft selv anbefaler faktisk at bruge 2 firewall's. Isa'en inderst og så en isa (eller en anden firewall) yderst til at tage det værste snavs.
Jeg har valgt 2 firewalls: PIX yderst og ISA 2004 inderst. PIX'en er ikke router ( = den er ikke default gateway, men den router da internettrafik fra det interne net til internettet). Venturer, hvad mener du mere præcist jeg skal ændre i PIX'ens routning?
Drenge, smid lige et svar i stedet for en kommentar, så får I point.
TD
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
