DieterK 10 Geschrieben 24. September 2007 Melden Geschrieben 24. September 2007 Hallo Forum, ich benötige für unser Netzwerk eine Firewall. Dem Kunden währe eine Cisco-Firewall am liebsten. Wir benötigen die folgende Funtkionen: Netzwerk 1 (192.168.5.x) Netzwerk 2 (10.0.2.x) mit Internetzugang über 10.0.2.201 Alle Stationen sollen über Netzwerk 2 auf das Internet zugreifen können. Einige Stationen ais dem Netzwerk 2 sollen auf die Stationen im Netzwerk 1 zugreifen können (pcAnywhere, SQL-Administration, Zugriff auf Netzwerkdaten) Ich denke, dass das Netzwerk 1 am Inside-Port und das Netzwerk 2 am Outside-Port angeschlossen wird. Mit welcher Firewall kann ich dieses Szenario realisieren? Oder sollte ich doch eher einen Router einsetzen? Wenn ja dann bitte ich ebenfalls um Empfehlungen. Wie regel ich den Zugriff untereinander in Bezug auf NAT oder STATIC. Ich hoffe, dass mein gewünschtes Szenario zu realiseren ist und danke schon mal im Voraus für Eure Bemühungen. Viele Grüße Dieter Zitieren
Sailer 11 Geschrieben 24. September 2007 Melden Geschrieben 24. September 2007 Also wenn Stationen aus Netzwerk 2 auf 1 zugreifen sollen, dann ist die Firewall hier am falschen Platz. Wenn ich deine Beschreibung richtig verstehe dann hängt Netz 2 ja schon direkt am Internet LAN1---Firewall---LAN2---Internet Ich würde da eine Firewall mit 3 oder mehr Interfaces empfehlen. LAN, DMZ, Internet. Oder wenn schon dann LAN1---Router---LAN2---Firewall---Internet Und wenn im LAN2 irgendwelche Webserver o.ä. sind, sprich vom Internet darauf zugegriffen wird, dann unbedingt in eine DMZ damit Zitieren
hegl 10 Geschrieben 25. September 2007 Melden Geschrieben 25. September 2007 Wenns eine PIX sein soll, dann kommt die 506er in Frage. Hier hast Du zwei physikalische Interface und hast noch zwei virtuelle als VLAN, von denen Du dann eine als DMZ nehmen kannst. Zitieren
Wordo 11 Geschrieben 25. September 2007 Melden Geschrieben 25. September 2007 Ist das eine Art Businesscenter, wo sich mehrere Firmen den Internetuplink teilen oder wie kommt so ein Szenario zustande? Wenns wirklich nur die paar Funktionen sind reicht auch ein Router (871 z.B.). Wichtig waere halt nur - wie von Sailer geschrieben, dass Netz1 ausreichend geschuetzt ist. Zitieren
DieterK 10 Geschrieben 25. September 2007 Autor Melden Geschrieben 25. September 2007 Hallo Forum, bei meinem Kunden wird ein Teil des Netzwerkes für die Auftragsbearbeitung eine Kunden separat durchgeführt. Dieser Auftraggeber wünscht eine Abschottung des Netzwerk 1 von Netzwerk 2. Der Internetzugang soll über Netzwerk 2 möglich sein. Netzwerk 2 ist ebenfalls durch eine Firewall geschützt. Eine Administration des Netzwerk 1 von Netzwerk 2 aus soll ermöglicht werden. Nach den Informationen, die ich bisher bekommen habe, denke ich, dass ich eine Lösung mit DMZ aufbauen möchte. Netzwerk 1 (192.168.5.x an inside) Netzwerk 2 (10.0.2.x an DMZ) Internetzugang (separat an Outside) Als Firewall plane ich den Einsatz der ASA 5505 mit DMZ Bundle. Die Regeln möchte ich wie folgt aufbauen: Von Inside nach Outside werden nur bestimmte Protokolle erlaubt (WWW,FTP,FTP-DATA,SSH,SSL) Von DMZ nach Outside wird alles gesperrt Von DMZ nach Inside werden Zugänge über STATIC eingerichtet Von Inside nach DMZ erfolgt nur ein beschränkter Zugriff auf bestimmte Stationen (interner Mail-Server) Von Outside nach DMZ wird es kein Zugang geben Von Outside nach Inside wird es kein Zugang geben Ich hoffe dass meine Planung so funktioniert. Kann die ASA 5505 dieses? Viele Grüße und Dank Dieter Zitieren
Wordo 11 Geschrieben 25. September 2007 Melden Geschrieben 25. September 2007 Die ASA hat auch noch eine Limitierung auf 10 Clients im Inside, ich weiss nicht ob das mit dem DMZ Bundle erschlagen wird. Solltest du nochmal pruefen. Ansonsten sind die Vorraussetzungen nicht so anspruchsvoll, koennte man auch mit nem Router machen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.