Det mest optimale sted at placere en ISA server på netværket er det ikke på en standalone server med 2 netkort, som KUN fungere som ISA server og ikke noget som helst andet?
----------------------------------------------------------- Min nuværende netværk opsætning ser således ud: -----------------------------------------------------------
1. Router1 fra min ISP, som står fuldstændig åben. 2. Router2 min egen med inbygget switch og firewall. 3. Den er forbundet med Router1 via LAN porten. Altså Router1 WAN til Router2 LAN.
Router2 fungere som switch og firewall for de pc'ere der er på netværket. Der styrer jeg også mine NAT entries etc. -----------------------------------------------------------
----------------------------------------------------------- NY netværksopsætning: -----------------------------------------------------------
1. Router1 fra min ISP, som står fuldstændig åben. 2. ISA Server: - NIC1 forbindes med Router1 fra ISP - NIC2 forbindes med Router2 som udelukkende kommer til at fungere som switch.
3. Router2 fungere som switch eller anden switch placeres her. -----------------------------------------------------------
----------------------------------------------------------- Mine spørgsmål til den nye opsætning: -----------------------------------------------------------
A. Hvor ville i placere ISA serveren?
B. Er det ikke det mest optimale at placerer en ISA server som standalone, på en rigtig hurtig X64bit server?
C. Ville det ikke være dobbelt konfekt og lidt af en performance killer at aktivere firewallen med statefull packet inspection også i Router2 sammen med ISA serveren?
okay... når du siger uden min router, mener du så at jeg skal droppe Router2 som firewall?
Jeg har nemlig en webserver og en mailserver, kørende på hver deres server også.
Hvor ville du placerer dem?
Mit forslag:
1. Router1 ISP, åben for WAN Inbound ports: - 21 - 80 - 443 - andre porte etc.
2. ISA Server med 4 NICS. - NIC1 forbindes med Router1 fra ISP - NIC2 forbindes med Standanlone Web Server - NIC3 forbindes med Standanlone Mail Server - NIC4 forbindes med Router2 som udelukkende kommer til at fungere som switch til andre klienter på netværket.
En firewall/proxy bør altid have så lidt udenoms funktionalitet installeret som muligt og løse så få andre opgaver som muligt. Jo mere du installerer på den jo mere sårbar bliver den og jo større er sandsyneligheden for at der findes et hul der kan udnyttes.
IMHO bør man aldrig placere en ISA som bastions firewall, den skal beskyttes af noget andet, som minimum en router med statful inspection firewall funktionalitet, men gerne en "rigtig firewall". Denne opfattelse er mainstream blant GCFW certificerede
Deter jo et spørgsmål om trussel. Hvis du er en helt almindelig bruger, uden noget særligt at beskytte, så kør med den opsætning du har. Hvis du er ude i at lege, så kunne du kikke på en opsætning således
Router----Netfilter firewall-------ISA----interne net |__________DMZ
Netfilter er indbygget i linux kernlen og kan dermed konfigureres ud af en hver linux box. Denne opsætning bliver jo lidt større og mere kompliceret, men giver også flere lag sikkerhed. Læg især mærke til at der er tre teknologiskift fra routerens operativsystem over linux til Windows, det stiller krav til en hackers kunnen
Jeg ville personligt ikke have problemer med at stille en ISA op som bastionsfirewall (yderste firewall). Der er dog ingen tvivl om at den bør køre på en dedikeret server. Hvorvidt det skal være på en 64bit platform eller ej vist ligegyldigt. Med mindre du har en flere hundred mbit forbindelse, stilles der ikke de store krav til arkitekturen. Jeg har lidt svært ved at forstå hvorfor mange mener at en ISA ikke er en "rigtig" firewall. Hvordan defineres en rigtig firewall? En Cisco box eller andet er stadig bare en PC ligende maskine med noget specialiseret software. Det samme er en ISA. Er den sat ordenligt op er den lige så skudsikker som en hver anden "rigtig" firewall i samme prisklasse. Dog er det MEGET vigtigt at den bliver sat ordenligt op. MS har en del gode guides til hvordan man "hærder" en ISA server.
Dette kan selvfølgelig hurtigt udvikle sig til en større religionskrig, men jeg mener at sammen ligningen mellem ISA og en "rigtig" firewall er den samme som mellem AMD og INTEL (hvilken er hurtigts?). Det kommer an på hvad den skal bruges til, men de fleste kan bruge en hvilken som helst af dem. Samme gælder med firewalls.
Lad det dog være sagt at jeg ikke er GCFW certificeret og jeg er ikke mainstream :)
For at vende tilbage til dit spørgsmål:
A: Yderst på netværket med det ene netkort forbundet til din udbyder og de(t) andre netkort til dine interne netværk.
B: JO! Dog behøver du ikke tænke 64bit da ISA endnu ikke er skrevet om til 64bit.
C: Jo. Jeg foreslår som sagt at du "kun" har den ene firewall (ISA)
er enig med venturer, (og er heller ikke certificeret i det), men hvis det er så vitalt at ens maskiner ikke bliver udsat for noget under nogen omstændigheder, så vil 2 100% adskildte fysiske netværk jo være den eneste løsning. (og ingen steder står der i hvilket miljø det er det skal benyttes, er det bare på udd. øjemed, eller er det hos PET...)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
