Planung Firewall

[DieterK 10]

Hallo Forum,

 

ich benötige für unser Netzwerk eine Firewall. Dem Kunden währe eine Cisco-Firewall am liebsten. Wir benötigen die folgende Funtkionen:

 

Netzwerk 1 (192.168.5.x)

Netzwerk 2 (10.0.2.x) mit Internetzugang über 10.0.2.201

 

Alle Stationen sollen über Netzwerk 2 auf das Internet zugreifen können.

Einige Stationen ais dem Netzwerk 2 sollen auf die Stationen im Netzwerk 1 zugreifen können (pcAnywhere, SQL-Administration, Zugriff auf Netzwerkdaten)

 

Ich denke, dass das Netzwerk 1 am Inside-Port und das Netzwerk 2 am Outside-Port angeschlossen wird. Mit welcher Firewall kann ich dieses Szenario realisieren? Oder sollte ich doch eher einen Router einsetzen? Wenn ja dann bitte ich ebenfalls um Empfehlungen.

 

Wie regel ich den Zugriff untereinander in Bezug auf NAT oder STATIC.

 

Ich hoffe, dass mein gewünschtes Szenario zu realiseren ist und danke schon mal im Voraus für Eure Bemühungen.

 

Viele Grüße

 

Dieter

[Sailer 11]

Also wenn Stationen aus Netzwerk 2 auf 1 zugreifen sollen, dann ist die Firewall hier am falschen Platz. Wenn ich deine Beschreibung richtig verstehe dann hängt Netz 2 ja schon direkt am Internet

 

LAN1---Firewall---LAN2---Internet

 

 

 

Ich würde da eine Firewall mit 3 oder mehr Interfaces empfehlen. LAN, DMZ, Internet.

 

Oder wenn schon dann LAN1---Router---LAN2---Firewall---Internet

 

 

Und wenn im LAN2 irgendwelche Webserver o.ä. sind, sprich vom Internet darauf zugegriffen wird, dann unbedingt in eine DMZ damit

[hegl 10]

Wenns eine PIX sein soll, dann kommt die 506er in Frage. Hier hast Du zwei physikalische Interface und hast noch zwei virtuelle als VLAN, von denen Du dann eine als DMZ nehmen kannst.

[Wordo 11]

Ist das eine Art Businesscenter, wo sich mehrere Firmen den Internetuplink teilen oder wie kommt so ein Szenario zustande? Wenns wirklich nur die paar Funktionen sind reicht auch ein Router (871 z.B.). Wichtig waere halt nur - wie von Sailer geschrieben, dass Netz1 ausreichend geschuetzt ist.

[DieterK 10]

Hallo Forum,

 

bei meinem Kunden wird ein Teil des Netzwerkes für die Auftragsbearbeitung eine Kunden separat durchgeführt. Dieser Auftraggeber wünscht eine Abschottung des Netzwerk 1 von Netzwerk 2. Der Internetzugang soll über Netzwerk 2 möglich sein. Netzwerk 2 ist ebenfalls durch eine Firewall geschützt. Eine Administration des Netzwerk 1 von Netzwerk 2 aus soll ermöglicht werden.

 

Nach den Informationen, die ich bisher bekommen habe, denke ich, dass ich eine Lösung mit DMZ aufbauen möchte.

 

Netzwerk 1 (192.168.5.x an inside)

Netzwerk 2 (10.0.2.x an DMZ)

Internetzugang (separat an Outside)

 

Als Firewall plane ich den Einsatz der ASA 5505 mit DMZ Bundle.

 

Die Regeln möchte ich wie folgt aufbauen:

 

Von Inside nach Outside werden nur bestimmte Protokolle erlaubt (WWW,FTP,FTP-DATA,SSH,SSL)

Von DMZ nach Outside wird alles gesperrt

Von DMZ nach Inside werden Zugänge über STATIC eingerichtet

Von Inside nach DMZ erfolgt nur ein beschränkter Zugriff auf bestimmte Stationen (interner Mail-Server)

Von Outside nach DMZ wird es kein Zugang geben

Von Outside nach Inside wird es kein Zugang geben

 

Ich hoffe dass meine Planung so funktioniert. Kann die ASA 5505 dieses?

 

Viele Grüße und Dank

 

Dieter

[Wordo 11]

Die ASA hat auch noch eine Limitierung auf 10 Clients im Inside, ich weiss nicht ob das mit dem DMZ Bundle erschlagen wird. Solltest du nochmal pruefen. Ansonsten sind die Vorraussetzungen nicht so anspruchsvoll, koennte man auch mit nem Router machen.