/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Firewall til internt proaccess net
Fra : Jakob Kirkegaard


Dato : 21-06-05 14:11

Hej,

Har en proaccess adsl forbindelse med pt. et enkelt internt net med både
klienter og servere samlet. Jeg vil gerne have foretaget en opdeling af
det interne net i en "trusted" (arbejdsmaskiner og servere der skal
snakke sammen internt, men ikke kontaktes udefra) og "ikke-trusted" zone
(gæster, der skal kunne gå på nettet, men ikke se de trusted maskiner)
samt en DMZ zone til en webserver. Der skal ikke være kontakte mellem
zonerne, men være muligt med forskellige grader af kontakt til
omverdenen for de tre zoner.

Har kigget lidt på ZyWall 5 og CISCO Pix 501 - men er i tvivl om de kan
håndtere opgaven, dvs. om der er mulighed for flere interne net. Nogen
anbefaliner?

Har overvejet en dedikeret BSD server med en flok netkort, men synes
umiddelbart det er overkill - og håber derfor der findes en alt. løsning.

--
mvh Jakob Kirkegaard

 
 
Ukendt (21-06-2005)
Kommentar
Fra : Ukendt


Dato : 21-06-05 16:00

"Jakob Kirkegaard"
Der skal ikke være kontakte mellem
> zonerne, men være muligt med forskellige grader af kontakt til omverdenen
> for de tre zoner.
>
> Har kigget lidt på ZyWall 5 og CISCO Pix 501 - men er i tvivl om de kan
> håndtere opgaven, dvs. om der er mulighed for flere interne net. Nogen
> anbefaliner?

Forslag 1)
Lidt knaldet, men kunne være den billigste løsning afhængig af dine krav.
Få nogle ekstra public-adresser, hvis du ikke allerede har flere af dem, og
køb så 3 billige firewalls. 1 til hver gruppe.

Forslag 2)
Du kunne vælge en Juniper 5GT wireless model
http://www.juniper.net/products/integrated/dsheet/110034.pdf
Opdel som home-work, så har du 2 kablede forskellige zoner, plus op til 4
forskellige trådløse net.
Fx gæster på ét trådløst net, og mulighed for at give de administrative
brugere trådløs adgang på et andet..
(Afhænger selvfølgelig af størrelsen af lokationen, om du kan nøjes med det
ene AP)

Forslag 3)
En firewall med 4 ben eller mere. Fx PIX 515 eller en Juniper 25/50
http://www.juniper.net/products/integrated/dsheet/110003.pdf
Så har du et ben til hver funktion, plus muligheden for at køre imellem dem
nemt.

Forslag rigtig mange....
..... Er der sikkert også andre som har...

--
/Stoltze
Har du husket at klippe i dit indlæg? Og læst det igennem en ekstra gang?
Husk at læse http://www.usenet.dk/netikette/citatteknik.html




Jakob Kirkegaard (21-06-2005)
Kommentar
Fra : Jakob Kirkegaard


Dato : 21-06-05 16:22

Hej,

Niels Stoltze wrote:
> Forslag 3)
> En firewall med 4 ben eller mere. Fx PIX 515 eller en Juniper 25/50
> http://www.juniper.net/products/integrated/dsheet/110003.pdf
> Så har du et ben til hver funktion, plus muligheden for at køre imellem dem
> nemt.

Tak for dine forslag.

Eneste realistiske option er nok 3). Er ikke pt. mulighed for flere
globale ip'er - og derudover så ønsker vi ikke at benytte wlan. Dog
synes jeg prislejet er noget uden for det realistiske (skulle måske lige
nævne at der er tale om omkring 15 klienter og 2 servere, hvor der ikke
er behov for noget fancy trafik analyse, men blot en rimelig simpel
adskillelse.

Fandt en fin tegning der beskriver behovet:
http://www.hn.edu.cn/book/NetWork/NetworkingBookshelf_2ndEd/fire/figs/fire2.0614.gif

Formålet er, at sker der en kompromitering i enten den untrustede zone
(Internal Network B) eller på Bastion Hosten, så skal Internal Network A
være beskyttet.

Forslag til alternative måder at gøre tingene modtages gerne!

--
mvh Jakob Kirkegaard

Jakob Kirkegaard (22-06-2005)
Kommentar
Fra : Jakob Kirkegaard


Dato : 22-06-05 11:17

Jakob Kirkegaard wrote:
> Eneste realistiske option er nok 3). Er ikke pt. mulighed for flere
> globale ip'er - og derudover så ønsker vi ikke at benytte wlan. Dog
> synes jeg prislejet er noget uden for det realistiske (skulle måske lige
> nævne at der er tale om omkring 15 klienter og 2 servere, hvor der ikke
> er behov for noget fancy trafik analyse, men blot en rimelig simpel
> adskillelse.

Snakkede med TDC erhverv og de mente at en Cisco 831 ville kunne løse
mine krav til en intern router - kan dog ikke gennemskue igennem alt
marketingsgejlet på ciscos hjemmeside om der er mere en et LAN interface.

--
mvh Jakob

Asbjorn Hojmark (23-06-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 23-06-05 06:51

On Wed, 22 Jun 2005 12:16:57 +0200, Jakob Kirkegaard
<jkir00@cvmt.aau.dk> wrote:

> Snakkede med TDC erhverv og de mente at en Cisco 831 ville kunne løse
> mine krav til en intern router - kan dog ikke gennemskue igennem alt
> marketingsgejlet på ciscos hjemmeside om der er mere en et LAN interface.

Der er en indbygget 4-ports managed switch, der kan opdeles i 4 VLAN.

-A

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408928
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste