Ostfriese 10 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hallo Board, Habe mal ne Frage: Mein Arbeitgeber möchte gerne im eigenen Bereich die eMail-Konten der Mitarbeiter und die Homepage der Firma hosten. Beides liegt im Moment auf Servern bei nem externen Anbieter, zu dem alleirdings das Vertrauen schwindet. Internetanbindung mit statischer IP ist in Arbeit.. (Sollte innerhalb der nächsten Wochen geschaltet sein..) Habe auch schon einen "netten" Entwurf erarbeitet mit ner 3-homed-Firewall. Sieht in etwa so aus: [INTERNET] | Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB) | [LAN] 2 DC's FileServer PrintServer Exchange (RRAS) ((SharePoint)) Was sagt Ihr zu der generellen konfiguration?? Kommentare? Anmerkungen? !!! Grosses Problem: Mein Arbeitgeber will nicht so viel Hardware kaufen! Haben im Moment 5 Maschinen und insgesamt bräuchten wir 8 (9 bei NLB) [11 mit RRAS und SharePoint] Maschinen... Welche Funktionen kann ich sinnvollerweise auf einer Maschine zusammenfassen? Sollte ich in der DMZ 2 Maschinen installieren, oder können Exchange und die Firmen-Webseite (mit IIS + einem CMS) auch auf einer Maschine gemeinsam laufen? Was würdet Ihr empfehlen?? Hat damit schon jemand Erfahrung?? Gruß Ostfriese Zitieren Link zu diesem Kommentar
Squire 269 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hi, Denk mal über einen oder besser zwei ESX Server nach Zitieren Link zu diesem Kommentar
italianstallion 11 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 ...und über eine "richtige" Firewall und nicht ein ISA! Eine kleine Watchguard, D-Link oder Securepoint für "wenig" Geld! Gruß Stallion Zitieren Link zu diesem Kommentar
XP-Fan 218 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 ...und über eine "richtige" Firewall und nicht ein ISA! Was ist daran keine richtige Firewall ? Begründung ? :suspect: Zitieren Link zu diesem Kommentar
XP-Fan 218 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hallo Südschwede :D Wieviele Clients hängen denn hintendran im Netzwerk ? Du könntest den DMZ Bereich virtuallisieren und als Web einen Linux nehmen ( Kosten ). Was soll der RRAS im internen Netzwerk machen ? ISA ? Zitieren Link zu diesem Kommentar
italianstallion 11 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Was ist daran keine richtige Firewall ? Begründung ? In vielen/den meisten Szenarien steht der ISA hinter einer Firewall oder in der DMZ als Proxy und nicht als Firewall selbst, da er trotz seiner Sicherheitsfeatures nicht gern als Firewall fürs LAN benutzt wird! Wahrscheinlich weil niemand gern nen Windows OS direkt ausm Internet erreichbar sehen möchte! Korrigier mich wenn ich mich täusche! Gruß Stallion Zitieren Link zu diesem Kommentar
XP-Fan 218 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hallo, der ISA Server ist BSI zertifiziert, deine Firewall auch ? http://www.bsi.de/zertifiz/zert/reporte/0387a.pdf Ich will jetzt nicht einen Lanze brechen für den ISA oder andere Systeme nur solche pauschalen Aussagen sind einfach schlecht für das Niveau hier. Zitieren Link zu diesem Kommentar
Ostfriese 10 Geschrieben 18. Februar 2008 Autor Melden Teilen Geschrieben 18. Februar 2008 Hallo Erstmal Danke für die schnellen Antworten... Noch ein paar Bemerkungen zu den Randbedingungen, denen ich hier ausgesetzt bin. 1) Nutzer Habe hier etwa 100 Nutzer im Netz. 2) KEIN LINUX a) Wir haben hier keinen, der mit Linux als Admin gut genug klar kommt und b) sagt die Written-Secrurity Policy, das LINUX auch nicht erlaubt ist.... (sind an ne größere Firma angegliedert und die geben uns einige Randbedingungen vor...) 3) ISA 2006 ist vorgegeben a) hatten vorher ISA 04 und es lief gut b) wenn die Führung schon kein Geld für 'nen Server ausgeben mag, dann erst recht nicht für 'ne neue Firewall.. 4) Aufgabe RRAS Es ist grob angedacht, einigen Nutzern, die oft unterwegssind 'ne Einwahlmöglichkeit zu geben, um auf die Fileserver zugrefen zu können.. Der ISa würde dann als VPN endpunkt konfiguriert werden.. So, genug zu den Randbedingungen... Jetzt habe ich noch ein paar fragen: ESX ? sind das Exchange? Wenn ja, habe doch 2 Stück eingeplant.. 1 in der DMZ (nur zum aufschlagen und weiterleiten) und 1 im LAN (als eigentlichen ExchangeServer..) Oder stehe ich hier grade voll aufm Schlauch.... Gruß Ostfriese Zitieren Link zu diesem Kommentar
italianstallion 11 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Ich wollte damit eigentlich auch nur sagen, dass der ISA nicht gern als Firewall eingesetzt wird...und lass mich wie oben geschrieben auch gern korrigieren! Wollte den ISA auch gar nicht schlecht machen... Das Zertifikat ist natürlich spitze...ist vermutlich aber auch eine Frage des Preises und nicht der Qualität oder der Funktionen...oder? Zitieren Link zu diesem Kommentar
italianstallion 11 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig! Bin mir nicht sicher ob das für deine Randbedingungen OK ist...also Preis in dem Fall! Gruß Stallion Zitieren Link zu diesem Kommentar
XP-Fan 218 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Off-Topic:XP-Fan meinte mit ESX den VMWare ESX Server, der es erlaubt mehrere Virtuelle "Gäste" auf einem physikalischen Server laufen zu lassen...tolle Idee mit vielen Möglichkeiten und sehr flexibel, aber auch kostspielig! Bitte projeziere nicht Gedanken von dir auf Andere welche nicht dem entsprechen was gemeint ist ! :cool: Zitieren Link zu diesem Kommentar
Heros 10 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 In der DMZ würde ich alles auf eine Maschine packen. Bei 100 Benutzern ist es denke ich nicht so wild. wie viele Benutzer gehen auf die Website wenn du über NLB denkst. Im LAN solltest du auf jedenfall an eine Virtualisierung denken! ESX wäre natürlich perfekt. Schau dir dort mal die recht günstigen Start-Pakete an und auch den ESX 3i. Da ist für jeden etwas dabei und du kannst alles mit 2 Maschinen abdecken. Zitieren Link zu diesem Kommentar
hforster 10 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hi @ XP-Fan Deine aussage der BSI-Zertifizierung ist ein bisschen Missverständlich. Richtig ist die ISA 04 ist nach Common Criteria von der BSI Zertifiziert worden. Nach Common Criteria sind aber auch z.B. Oracle Server, Suse SLES8, IBM Websphere usw. Zertifiziert. Und Firewalls sind Dutzende Zertifiziert siehe Common Criteria - Consumers - General information Und beweist das die Sicherheit eines ISA-Servers? Oder die wirkliche Eignung als Internet-Firewall? have a nice day Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 [INTERNET] | Firewall (ISA06) -- [DMZ]: Exchange, Web (IIS, evtl NLB) | [LAN] 2 DC's FileServer PrintServer Exchange (RRAS) ((SharePoint)) Was sagt Ihr zu der generellen konfiguration?? Kommentare? Anmerkungen? Der Einsatz von Exchange in einer DMZ ist relativ sinnfrei (ausgenommen Exchange 2007 Edge). Da das Teil Mitglied der Domäne ist und auch mit entsprechend vielen Ports mit bspw. dem DC kommuniziert. D.h. du müßtest deine DMZ so "löcherig machen", dass sie nicht mehr wirklich nutzt. Einfacher wäre bspw. der Einsatz des ISA 2006 (schon erwähnt im Thread) und die korrekte Konfiguration im Zusammenspiel mit dem Exchange Server. Bye Norbert Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 18. Februar 2008 Melden Teilen Geschrieben 18. Februar 2008 Hi, ganz allgemein noch zum Thema Sicherheit bzw. Aufbau der Umgebung. Der von dir gewählte Aufbau mit einer Firewall kann keine richtige DMZ zur Verfügung stellen, da eine solche immer zwischen zwei Firewalls stehen sollte (siehe dazu auch Windows Server How-To Guides: Home - ServerHowTo.de. Wenn dein Chefe nicht bereit ist ein paar Euro mehr für Hardware zu zahlen, dann solltest du die Verhandlungen evtl. anderst aufziehen (Verfügbarkeitsanforderungen, Wichtigkeit der Daten, Folgen eines Datenverlustes...) Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.