Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- From: Dieter Olowson <DieterOlowson@xxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Sun, 22 Oct 2006 01:16:01 -0700
Hi Jens,
besten Dank für die schnelle Info.
Das WLAN steht bei der Konstellation ja in der "DMZ". Die WLAN-Clients haben
einen VPN-Zugang zum internen Netz. Die lasse ich auch nur mit VPN rein. In
der DMZ ist das derzeit egal. Zugang wird abgesichert.
Beim Speedport gibt s die Einstellmöglichkeit für VPN Passthrough, ob damit
aber auch Forwarding möglich ist oder dieses in der Einstellung bereits
enthalten ist, muss ich testen. Vielleicht hat jemand aus dem Forum eine
Antwort.
Gruß
Dieter
"Jens Baier" wrote:
Hi,.
Meine Vorstellung ist, diesen vor den ISA zu setzen
(doppelte Firewall, doppelte Sicherheit?)
Prinzipiell schon. BackFirewall (BF) und FrontFirewall (FF) erhoehen die
Sicherheit schon, auch wenn die ganze Sache dadurch komplexer wird.
Ich wuerde nur den Speedport nicht als Firewall, sondern eher als
Paketfilter bezeichnen, aber der Begriff Firewall ist ja dehnbar.
Den VPN Zugang wuerde ich auch am ISA machen lassen und nicht am Speedport.
Da hast Du mehr Flexibilitaet. AM Speedport wuerdest Du dann einfach VPN
Port Forwarding (eingehend) machen und VPN-Passthrough (ausgehend). Du
solltest da vorher mal schauen ob der Router das kann.
Wie hast Du Dir das mit den WLAN Clients vorgestellt? Wenn die am Speedport
ankommen sind die Clients vor dem ISA und somit fuer ISA EXTERN und
EXTERN=Boese. Da das Default Netzwerverhaeltnis am ISA von INTERN nach
EXTERN NAT ist, muesstest Du am ISA Server- und Webserververoeffentlichungen
erstellen, damit WLAN Clients in das interne Netzwerk kommen.
.ISA somit als Backfirewall zu konfigurieren
ja geht auch auch wenn man die EGDE-Firewallvorlage verwenden koennte. Diese
Vorlagen sind nur Bitmaps und ein bissle XML. Fuer mein Verstaendnis ist das
weiterhin ein EDGE Szenario, man kann aber auch BACKFIREWALL drauss machen
Kann ich die derzeitigen Firewallrichtlinien im ISA übernehmen
(wenn ja: wie?) wenn ich von Edgefirewall auf Backfirewall umstelle oder
müssen alle Richtlinien neu eingegeben werden?
Wenn Du das Netzwerk ueber den Assistenten vom ISA aenderst, dann kannst Du
die Konfig vorher exportieren, es wird dann aber das vorhandene Regelwerk
zerstoert. Wenn Du es also ueber den Assistenten machst, wuerde ich vorher
am ISA das Firewallregelwerk exportieren und nach Umstellung auf BF
importieren. Anpassen musst Du es auf alle Faelle, weil sich ja die
Bedingungen einiger Regelelemente geandert haben durch die neue
Konstellation.
Ich persoenlich wuerde die Umstellung haendisch vornehmen und die
Netzwerktopologie und das Regelwerk manuell anpassen und in diesem
Zusammenhang auch die Notwendigkeit jeder Regel nochmal betrachten.
Egal was Du tust solltest Du vorher die ganze Konfig sichern, damit Du
notfalls wieder zurueck kannst.
Welche Einstellungen am ISA
müssen auf der WAN Seite vorgenommen werden, wenn die Providerdaten
künftig
im Spedport stehen?
Fuer den ISA ist der Speedport das Gateway, dass heisst Du musst am externen
Interface vom ISA das Gateway auf die IP-Adresse des Speedport setzen.
Hat jemand mit dieser Konstellation Erfahrung und ist es
empfehlenswert, dieses umzusetzen?
Mit Speedport nicht, aber mit Implementierungen in dieser Art und einem
Router davor auf alle Faelle.
Gruss Jens
www.nt-faq.de
- Follow-Ups:
- Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- From: Jens Baier
- Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- References:
- Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- From: Jens Baier
- Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- Prev by Date: Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- Next by Date: Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- Previous by thread: Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- Next by thread: Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
- Index(es):
Relevant Pages
|
Loading
