serpico75 Δημοσιεύτηκε Σεπτέμβριος 22, 2009 #1 Δημοσιεύτηκε Σεπτέμβριος 22, 2009 Καλημέρα.Όταν φτιάξω ένα firewall με DMZ, στη DMZ θα βάλω ένα proxy server (bastion).Εάν έχω κι άλλους servers να τοποθετήσω, π.χ. file server, database server, application server, ERP server, mail server, κ.λπ., αυτούς θα τους τοποθετήσω στη DMZ ή στο εσωτερικό LAN (intranet) που προστατεύει το firewall που έχω χτίσει;Ευχαριστώ.
DJD Σεπτέμβριος 22, 2009 #2 Σεπτέμβριος 22, 2009 Στην DMZ θα βάλεις servers που θέλεις να μπορούν να είναι προσβάσιμοι από το internet ή από ips έξω από το εσωτερικό σου δίκτυο, webmail πχ. Πίσω από το firewall θα έχεις όλους τους υπόλοιπους. Ιδανικά θα έχεις ένα (ή πολλά) firewall μπροστά από την DMZ κι ένα μεταξύ DMZ και lan.
serpico75 Σεπτέμβριος 22, 2009 Author #3 Σεπτέμβριος 22, 2009 Απ' ό,τι ξέρω, το firewall με DMZ φτιάχνεται: exterior screening router - DMZ - interior screening router.Αυτά τα τρία συνθέτουν ολόκληρο το firewall.Όταν λες ότι το ιδανικό είναι να έχω ένα (ή πολλά firewall) πριν τη DMZ, εννοείς πολλά screening router ή κάτι άλλο;thanks
DJD Σεπτέμβριος 22, 2009 #4 Σεπτέμβριος 22, 2009 Βασικά εξαρτάται για τι μέγεθος εταιρείας μιλάμε. Αν απλά θα βάλεις ένα adsl router και παίξεις με την DMZ που έχουν, δε μπορείς να κάνεις και πολλά. Αυτό που εννοώ είναι Firewall<->DMZ<->Firewall<->Lan. Αναλόγως πάλι το μέγεθος της εταιρείας πίσω από το πρώτο firewall μπορείς να έχεις load balancers, IDS κτλ κτλ. Για το αρχικό σου ερώτημα, ο proxy καλό είναι να μπει στην DMZ και όλοι οι υπόλοιποι servers (που δεν θέλεις να είναι προσβάσιμοι από το internet) εκτός αυτής.
serpico75 Σεπτέμβριος 22, 2009 Author #5 Σεπτέμβριος 22, 2009 Μιλάμε για εταιρεία με 60 άτομα και να βάλω ένα aDSL router.Θα ξαναθέσω το ερώτημα γιατί ακόμα δεν το κατάλαβα. Λες:Firewall<->DMZ<->Firewall<->LanΜήπως αυτό που εννοείς είναι:exterior screening router<->DMZ<->interior screening router<->Lanκαι στον κάθε screening router έχουμε το ανάλογο packet filtering;
DJD Σεπτέμβριος 22, 2009 #6 Σεπτέμβριος 22, 2009 Δεν έχω μιλήσει για routers αλλά για να μη μπερδεύομαστε, τι ακριβώς εξοπλισμό έχεις διαθέσιμο;
DJD Σεπτέμβριος 22, 2009 #8 Σεπτέμβριος 22, 2009 Από την εμπειρία μου έχω δει δύο τρόπους που παίζουν τα απλά adsl routers με τις DMZ, είτε τις αφήνουν εντελώς στον αέρα στο Internet κάνοντας στην ουσία bypass το firewall είτε τις βάζουν πίσω από το ίδιο firewall κι εσύ απλά επιλέγεις τι πόρτες θα ανοίξει. Το θέμα είναι ότι αυτά τα routers δεν είναι ιδιαίτερα ευέλικτα στο να διαχειριστούν ένα σχετικά πολύπλοκο δίκτυο. Τα switches που έχεις υποστηρίζουν layer3; Ξέρω ότι περιπλέκω τα πράγματα και δεν απαντάω άμεσα στην ερώτηση σου αλλά από linux πως πάς; Υπάρχουν αξιόλογα linux firewalls (και δωρεάν - http://www.smoothwall.org/get/index.php) τα οποία θα σου κάνουν τη ζωή πιο εύκολη και πιο ασφαλή. Θα χρειαστείς ένα σχετικά μικρό pc-άκι και 3-4 ethernets ανάλογα το πως θέλεις να το σχεδιάσεις. Σε αυτή τη περίπτωση θα είσαι κάπως έτσι: Αν ήδη σε έχω κουράσει, ο τρόπος που το λες router->dmz->router->lan είναι μια χαρά για ότι έχεις εκεί.
serpico75 Σεπτέμβριος 22, 2009 Author #9 Σεπτέμβριος 22, 2009 Ναι, τα switch είναι layer3. Όσο για Linux, δυστυχώς δεν έχω ασχοληθεί ποτέ.Οπότε, απ' ό,τι κατάλαβα, η λύση είναι το σχήμα σου και να αρχίσω να ανοίγω πόρτες που χρειάζονται.Να βάλω δηλαδή στη DMZ μόνο mail server και ν' ανοίξω πόρτα και όλα τ' άλλα μέσα στο LAN.Όσο για την κούραση που αναφέρεις, no problem..
trendy Σεπτέμβριος 22, 2009 #10 Σεπτέμβριος 22, 2009 Αν τα switch είναι layer3 τότε είναι router Το νόημα της DMZ είναι να έχεις μία ζώνη στο firewall προσπελάσιμη από το internet για συγκεκριμένη χρήση, πχ mail server, web server, και το υπόλοιπο εσωτερικό σου δίκτυο να είναι κομμένο και να επιτρέπεται η πρόσβαση προς τα έξω μόνο.
serpico75 Σεπτέμβριος 22, 2009 Author #11 Σεπτέμβριος 22, 2009 Αφού επιτρέπεται η πρόσβαση μόνο προς τα έξω, τα mail που θα λαμβάνει ο mail server, που βρίσκεται στη MDZ, και τα οποία mail θα είναι για τους χρήστες του εσωτερικού LAN, αυτοί δε θα μπορούν να τα λάβουν αφού η πρόσβαση είναι μονόδρομη (LAN->internet);
johnysb Σεπτέμβριος 22, 2009 #12 Σεπτέμβριος 22, 2009 Μπορεις να δεις και απο το LAN το DMZ ,βαλε ομως ενα firewall αναμεσα σε LAN και DMZ και χρησιμοποιησε https στη σελιδα του exchange.Eπισης μπορουν να βλεπουν τα mail και μεσω net,xωρις καποια αλλη παραμετροποιηση.
serpico75 Σεπτέμβριος 23, 2009 Author #13 Σεπτέμβριος 23, 2009 Eπισης μπορουν να βλεπουν τα mail και μεσω net,xωρις καποια αλλη παραμετροποιηση.Εντάξει, αυτή τη λύση την είχα σκεφτεί (μέσω Web), αλλά, επειδή βέβαια μιλάμε για POP3, θέλω να κατεβαίνουν τα mail στο PC κάθε χρήστη (Outlook Express, Outlook, κ.τ.λ., κ.τ.λ.).
trendy Σεπτέμβριος 24, 2009 #14 Σεπτέμβριος 24, 2009 Αφού επιτρέπεται η πρόσβαση μόνο προς τα έξω, τα mail που θα λαμβάνει ο mail server, που βρίσκεται στη MDZ, και τα οποία mail θα είναι για τους χρήστες του εσωτερικού LAN, αυτοί δε θα μπορούν να τα λάβουν αφού η πρόσβαση είναι μονόδρομη (LAN->internet);Θα μπορούν κανονικότατα, η κίνηση LAN->DMZ επιτρέπεται επίσης!Να διευκρινήσω ότι όταν λέμε για κίνηση που επιτρέπεται, αναφερόμαστε στο πρώτο πακέτο που "ανοίγει" τη σύνδεση. Οπότε τα υπόλοιπα πακέτα που ανήκουν σε αυτή τη σύνδεση περνάνε από το firewall είτε ανήκουν στη ροή LAN->DMZ είτε στην DMZ->LAN.
Recommended Posts
Archived
This topic is now archived and is closed to further replies.