Firewall front-end e back-end

Discussione:

(troppo vecchio per rispondere)

ermengarda

2006-08-31 16:44:51 UTC

Sto provando a creare una soluzione con firewall di front-end e firewall di
back-end.
Peccato che la soluzione sia troppo complessa per la mia portata :) spero
possiate darmi una mano a capire meglio.
il primo firewall isa (front-end) non è sotto dominio ed ha una interfaccia
esterna con 5 IP pubblici, ed una interna con IP privati
ho messo come rete perimetrale il range di ip che comprende l'ip lato
interno di isa (front), gli ip dei server da pubblicare e l'ip esterno di
isa (back)

è tutto corretto fino ad ora o devo già apportare modifiche?

Ora devo consentire agli utenti della lan di navigare internet.
Come devo configurare il server di front-end e quello di back-end?

Io credo che la soluzione corretta sia autorizzare il traffico da perimetro
a external nel il front end, facendo quindi in modo da consentire al
back-end di navigare.
Poi nel back-end dovrebbe essere sufficiente abilitare la funzione proxy...

Insomma, scusate se da profano, sto cercando di darmi le soluzioni da solo,
ma sono un po' impaziente e vorrei vedere questa configurazione funzionante.
Se avete qualche cosa da leggere su questo argomento specifico mi farebbe
davvero piacere.
grazie a tutti

ermengarda

2006-09-01 11:46:36 UTC

Permalink

bhe... la cosa sta funzionando. Spero che le operazioni siano corrette :)

Edoardo Benussi [MVP]

2006-09-01 13:18:27 UTC

Permalink

Post by ermengarda
bhe... la cosa sta funzionando. Spero che le operazioni siano
corrette :)

ottimo. :-)

--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com

ermengarda

2006-09-03 22:55:27 UTC

Permalink

ho parlato troppo presto...
Fin che si trattava di fare navigare gli utenti non ho trovato problemi...
quando invece si è trattato di perfezionare la topologià della rete in ISA e
pubblicare le risorse ho trovato difficoltà.

topologia:

----------------------------Internet (5 IP)
-----------------------------ISA front end
dmz internet (192.168.0.0/27) ----------dmz intranet(172.16.5.0/27)
------www-------------------------------Application server
---------------------------ISA back end----------------
internal server(172.16.6.0/24)-----------internal client(172.16.7.0/24)
exchange (172.16.6.98)
SQL (172.16.6.226)
DC (172.16.6.66)
IAS (172.16.6.99)
ISSUING CA (172.16.6.27)

necessità:
dall'esterno;
accesso al sito web nella dmz internet (Ok già fatto)
VPN alla dmz intranet per accedere all'Application server
pubblicazione owa
pubblicazione smtp per la ricezione di mail dagli altri server

L'Application server deve potere accedere ad SQL

dall'interno
i server ed i client devono navigare in internet usando come proxy il
back-end
i server ed i client devono potere accedere sia alla dmz internet che a
quella intranet

1)ho impostato il template front end sul primo isa e quello back end sul
secondo.
2) sul front ho modificato la network rule - Accesso perimetro e la ho
passata da route a NAT. non so se è corretto, ma usando IP privati per la
DMZ ho pensato servisse il NAT.
3)sepmre sul front ho impostato il secondo perimetro ed ho fatto un altro
NAT.
... ma gli errori secondo me li ho fatti nel back -end creando il perimetro
anche lì. Nel template il perimetro non c'era.
Comunque in ogni caso se non funge vuol dire che non sono capace ed ho
sbagliato qualche cosa.

In base alle necessità potreste, se avete un po' di pazienza :), scrivere le
network roule corrette per il front-end e quelle corrette per il back-and,
poi con le firewall policy e le pubblicazioni dovrei riuscire a
cavarmela(speriamo)

grazie infinite