Preadaption 10 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Hallo zusammen! In unserer Firma steht demnächst eine größere Umstrukturierung des Netzwerks an. Wir werden einen SBS 2003 einsetzen und ich habe mir folgende Struktur überlegt, die ich gern einmal von euch überprüfen/kritisieren lassen würden: Internet --> Router mit NAT --> Firewall mit extra DMZ-Port --> Clients am LAN-Port der Firewall, SBS2003 am DMZ-Port Der SBS bekommt zwei Netzwerkkarten, von der die "externe" an den DMZ-Port kommt und die "interne" an den Switch im LAN. Zwischen den NICs sitzt dann noch die Software-Firewall (evtl sogar ISA Server 2004) des SBS. Der SBS soll also im LAN über die interne NIC erreichbar sein, aber der Internet-Traffic soll direkt über Router/Firewall ins LAN laufen, damit der Internetzugriff auch bei Server-Ausfall sichergestellt ist. Die IP der externen NIC des SBS soll per NAT auf eine öffentliche statische IP abgebildet werden. Über diese IP soll dan der Zugriff auf OWA und die Einwahl per VPN ins LAN möglich sein (z.B. Verbindung zu den freigegebenen Laufwerken, zu SharePoint Services oder sogar zur AD). Frage: Ist das alles so machbar, wie ich mir das vorstelle? Bin ziemlich neu in der Einrichtung und Konfiguartion solcher Netzwerke... Welche Voraussetzungen muss ich auf der ISP-Seite schaffen (Router mit möglichem Port-Forwarding ist vorhanden)? Wie teile ich die IP-Adressen am besten auf? Bekommt die externe NIC des SBS eine private oder besser direkt eine öffentliche IP? Vielen Dank schonmal für eure Meinungen und Antworten! Beste Grüße Frank Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Das grundsätzliche "Problem" beim SBS ist, dass alles auf einer Maschine läuft. Gerade bei dem Gedanken die Server (Exchange etc.), Domäne und Nutzerdaten auf der selben Maschine wie die Firewall (ISA) laufen zu lassen wird mir regelmäßig übel. Andere haben allerdings nicht so ein hohes Sicherheitsbedürfnis und dein Entwurf sieht ja auch noch eine extra Firewall zwischen NAT Router und SBS vor. Funktionieren wird dein Entwurf bestimmt, ich sehe zumindest keine technischen Hindernisse. Was die IP Adressen angeht: Internet - (öffentliche IP) NAT Router (interne IP, Subnetz 1) - (interne IP, Subnetz 1) Firewall (interne IP, Subnetz 2) - (interne IP, Subnetz 2) SBS (interne IP, Subnetz 3) - Clients Du hast also eine öffentliche IP im Internet, ein internes Netz für den SBS und die Clients und zwei "Transportnetze" zwischen SBS und Firewall bzw. zwischen Firewall und NAT Router. Zitieren Link zu diesem Kommentar
Preadaption 10 Geschrieben 16. Mai 2006 Autor Melden Teilen Geschrieben 16. Mai 2006 Hi Christian, danke für deine Antworten und Vorschläge. Dadurch dass der SBS am DMZ-Port der Firewall (3Com OfficeConnect Firewall DMZ) hängt, ist er ja nicht komplett geschützt. Es werden halt lediglich Ping-of-Deaths etc. abgewehrt. Mich interessiert die Konfiguration mit den zwei NICs im SBS: Ist es nicht so, dass der SBS von Haus aus das Internet Gateway spielen möchte, wenn er mit zwei Netzwerkkarten bestückt wird? Sprich: Internet an externer NIC, LAN an interner NIC, Softwarefirewall dazwischen. Nun hat der SBS bei meiner Konfiguration ja zwei Möglichkeiten: Er kann sich den Internettraffic über die DMZ an der externen NIC holen oder aber über das LAN (interne NIC). Wie bringe ich ihm bei, dass er OWA, SharePoint etc. über die DMZ laufen lässt, sich aber z.B. Updates über's LAN zieht? Geht das überhaupt? Bzw. ist das überhaupt nötig? Die IP-Konfiguration, die du mir vorgeschlagen hast, würde doch auch wieder den SBS als Internet Gateway nutzen, oder nicht? Dabei soll doch der Traffic eigentlich über den gesicherten LAN-Port der FW laufen. Die Clients und der SBS (über seine interne NIC) hängen also gleichberechtigt am Switch, der dann mit dem LAN-Port der FW verbunden ist. Sorry, bin gerade etwas verwirrt. ;) Viele Grüße Frank Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Die IP-Konfiguration, die du mir vorgeschlagen hast, würde doch auch wieder den SBS als Internet Gateway nutzen, oder nicht? Oh, ich dachte das wäre genau so gewollt. Dann habe ich deine Frage falsch verstanden, sorry. Ich jetzt nicht der SBS Experte, die genauen technischen Hintergründe dazu kann ich dir deswegen leider nicht beantworten, da gibt es hier bessere! Zitieren Link zu diesem Kommentar
Preadaption 10 Geschrieben 20. Mai 2006 Autor Melden Teilen Geschrieben 20. Mai 2006 Hat sonst niemand mehr eine Idee? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.