Re: [OT] VLAN Design & Routing

From: Daniel Melanchthon [MVP] (melanchthon_at_gmx.de)
Date: 10/08/04

  • Next message: Daniel Melanchthon [MVP]: "Re: IP-Fehler" 
    Date: Fri, 08 Oct 2004 19:19:59 +0200

    Thomas Wildgruber schrieb:

    > Welchen Firewallport?

    Normalerweise hängt der WAN-Port der Firewall am INternetgateway. Ihr
    habt vermutlich DSL und das DSL-Kabel geht in die Firewall. Dann ist
    das der WAN-Port.

    > Firewall/Internetgateway ist bei uns dasselbe. Die Firewall wird an einem
    > Port am Switch angeschlossen -> Nur an welchem? Ein Port der zum
    > Verwaltungs VLAN gehört, an einem Port der zum DTP VLAN gehört oder an
    > einen eigenen VLAN Port?

    Da wäre eine Firewall mit mehreren LAN-POrts sinnvoll, um jeweils
    einen Zugang in das Verwaltungs-LAN und einen in das DTP-LAN zu legen.
    Mithilfe der Firewall kannst Du dann den Traffic separat steuern.
    Natürlich kannst Du auch mehrere Firewalls hintereinander kaskadieren,
    DMZ einrichten, etc. - alles eine Frage des Konzepts.

    VLANs konfigurierst Du auf einem Switch, um z.B. zwei getrennte Netze,
    die Du via Firewall z.B. zusammenführst, auf ein und demselben Switch
    anschliessen zu können. Das sparst quasi Geld für einen zweiten
    Switch. Wenn Du aber getrennte Switches für DTP und Verwaltung hast,
    dann brauchst Du dort nicht zwingend VLAN.

    > Okay, das interne Firewallkonzept steht wohl auch noch etwas wackelig da.
    > Einfach wirds auf alle Fälle nicht ;-)

    Jupp. Daran solltest Du arbeiten. Es kann nicht schaden, dafür
    kompetenten Rat einzukaufen, denn Dein Ergebnis hängt am schwächsten
    Glied. Mit einem "dummen" Fehler kann man das ganze Konzept
    torpedieren. Daher ist Sicherheit mehr als Geldausgeben - vor allem
    muß ein vernünftiges Konzept regelmäßig Reviews unterzogen und gelebt
    werden.

    >>eher in Richtung Aufbau einer domainintegrierten CA und
    >>IPSec-Verschlüsselung zwischen CLient und Server hinauslaufen...
    >
    > Das machts auch nicht einfacher ;-)

    Du weißt doch: Sicherheit kostet Komfort ;-) 

    -- 
Gruss aus dem Hoch im Norden!
Daniel Melanchthon - MVP Exchange Server
"Banging your head against a wall uses 150 calories an hour!"
  • Next message: Daniel Melanchthon [MVP]: "Re: IP-Fehler"

    Relevant Pages

    • Re: Layer 3 and Firewall
      ... while a technical solution exists, the best solution to this specific ... switch admin playing foul. ... Subject: Layer 3 and Firewall ... interfaces on a single physical port by using 802.1q VLAN tagging. ...
      (Pen-Test)
    • Re: Firewall on a stick?
      ... > Does anyone out there have a a Firewall-1 connected to a LAN switch via an ... > ISL or 802.1Q trunk, in order to inspect traffic between two VLANs? ... > all the normal precautions to stop VLAN leakage, ... > would bypass the Firewall! ...
      (comp.security.firewalls)
    • Re: [OT] VLAN Design & Routing
      ... weil nur die Verwaltung über einen Internetzugang verfügt. ... > Da brauchst Du kein VLAN. ... Die Firewall wird an einem ... Port am Switch angeschlossen -> Nur an welchem? ...
      (microsoft.public.de.german.windows.server.networking)
    • Re: [fw-wiz] Problem with Cisco Firewall Service Module running in transparent mode
      ... >I have attempting to get a Cisco Firewall Service Module (FWSM) running ... >software version 2.2in transparent mode and multiple context mode. ... I first remove this vlan interface from the MSFC2 ...
      (Firewall-Wizards)
    • RE: Layer 3 and Firewall
      ... Subject: Layer 3 and Firewall ... to the same physical switch? ... some cases by attacking the switch, but the level and type of vulnerability ... on either VLAN can hop to the other with the current switch configuration. ...
      (Pen-Test)