Isa-Server wohin damit

[daveman 10]

hallo gemeinde!

 

habe eine simple frage an die ISA Experten.

 

Wir planen einen einzusetzen um sie als zusätzliche Firewall zu gebrauchen.

 

Die sache ist nur die. wo muß der Isa physikalisch angeordnet werden so wie eine Klasische Firewall sprich direkt mit der Firewall verbunden oder kann sie auch an einem Switch auf gleicher ebene mit den anderen servern angeordnet sein. Ich frage da ich einen BladeCenter habe und somit sonst einen zusätzlichen server außerhalb des centers mir zulegen muß.

[Christoph35 10]

Also, ihr habt schon eine Firewall zum Einsatz, die mit einem Bein im Internet und mit einem Bein im LAN steht?

 

Dann kannst Du den ISA z.B. als innere Firewall in einer Back-to-Back-Konfig. einsetzen:

 

Also so:

 

LAN<->ISA<->DMZ<->vorhandene FW<->Internet

 

In dem Fall wäre der ISA mit der einen NIC im Servernetz, mit der anderen NIC in einem neuen Netz (DeMilitarizedZone, DMZ). Die vorhandene FW wäre dann mit der inneren NIC in der DMZ und mit der anderen NIC im Internet.

 

Christoph

[weg5st0 10]

Also eine Firewall sollte generell in einem separaten Netzbereich liegen.

 

Fraglich ist halt was der ISA machen soll. Als Proxy könnte man einen Kompromiss eingehen und ihn im Server-Lan betreiben. Besser wäre aber zumindest die Abschottung mittels VLan.

 

Entscheidend ist auch die Anzahl der Netzwerkschnittstellen, die der ISA haben soll. Da scheidet ein Bladecenter oft von vornherein aus.

[daveman 10]

erstmal danke Jungs,

 

der ISA muß die Firewall Tätigkeit verbessern d.h. ich möchte eigentlich die jetzige Firewall der ich nicht ganz traue entlasten.

Der erste beitrag mit fw-dmz-isa-lan scheint ganz gut zu passen in meinem netz.

D.H der ISA soll als Firewall fungieren.

[Rudman 10]

Wenn du den ISA nicht als Proxy nutzten willst, hast du viele Möglichkeiten diesen einzusetzen.

 

Lan<->ISA<-> vorhandene FW<->WAN

Lan<->vorhandene FW<->ISA <->WAN

Lan<->vorhandene FW<->DMZ<->ISA<->WAN

Lan<->ISA<->DMZ<->vorhandene FW<->WAN

 

|-> diese sind natürlich alle in unterschiedlichen Netzen.

 

bei der Installation und der ersten Konfiguration kannst du zwischen einigen konzepten wählen, die sich recht gut selber erklären.

Zur Hilfe eignet sich sehr gut. ISA Server FAQ

[daveman 10]

Ok super.

 

in dieser konstellation müsste ich noch einen VPN-Router hinein bringen.

da ich vpn verbindungen zu nebengebäuden und nebenstandorten errichten will.

 

Habt ihr da ne idee, kann mir nicht vorstellen das der VPN in die DMZ kommt also eigentlich nur davor. wan-fw-dmz-isa-vpn-lan

[giffy 10]

Warum das der ISA bietet auch die funktion einer VPN

[grizzly999 11]

d.h. ich möchte eigentlich die jetzige Firewall der ich nicht ganz traue entlasten.

Warum das? Weil du sie nicht bedienen kannst? Wenn du der FW nicht "traust", warum auch immer, dann lasse sie ganz weg, alles andere ist Augenwischerei.

 

Der ISA taugt als Firewall, allerdings auch nur, wenn man ihn korrekt bedienen und einrichten kann. Er läuft als Proxy und ganz hervorragend als VPN-Server.

 

 

grizzly999

[isa2004 10]

hallo beisammen

 

hab das gleiche in unserer schule installiert und zwar nach dem system:

 

lan<>isa<>dmz<>firewal<>wan

 

funktioniert perfekt

 

warum habe ich eine firewal und isa???

 

firewal habe ich installiert als noch kein isa vorhanden war, als isa dazukam habe ich sie trotzdem stehen lassen; nach dem Motto " hilft´s nix, schadet´s nix"

 

lg

andi