Firewall в сеть с публичными IP
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
jnw » 11 май 2004, 10:36
Приветствую уважаемый форум!
Поставлена следующая задача. Инет и локальная подсеть разделены firewall'ом. В локальной подсети адреса - публичные, просто надо, чтобы на один из этих адресов траффик входил и выходил полностью, но при этом логировался. Все это должно жить под Win2003. Вопрос: какой firewall использовать? Я дилетант в этом вопросе, поэтому прошу совета.
Поставлена следующая задача. Инет и локальная подсеть разделены firewall'ом. В локальной подсети адреса - публичные, просто надо, чтобы на один из этих адресов траффик входил и выходил полностью, но при этом логировался. Все это должно жить под Win2003. Вопрос: какой firewall использовать? Я дилетант в этом вопросе, поэтому прошу совета.
Harry33 » 11 май 2004, 10:45
jnw
С какими Firewall'ами знаком?
С какими Firewall'ами знаком?
Знания, которые нельзя применить - бесполезны
AlexB » 11 май 2004, 13:03
Кстати, о Kerio Win proxy было бы интересно узнать мнение уважаемых админов. Как он себя ведет с Win 2003 Server?
Harry33 » 11 май 2004, 13:26
jnw
Поехали уточнять задачу.
1. есть блок реальных адресов.
2. есть частная сеть в которой используются реальные IP адреса
Необходимо.
Обеспечить безопасный доступ к инету для определенной машины с полным логом деяний или обеспечить безопасный доступ всем, при этом имея подробные логи деяний конкретной машины?
Теперь несколько рекомендаций.
Если есть техническая возможность и отсутствуют сдерживающие факторы, переведи всех на частные IP адреса. Реальные IP адреса оставь только машинам, которым это необходимо (Внешний DNS, прокси сервер, роутер и т.п)
После этого поднимай на каком-либо сервере Прокси и выпускай ВСЕХ внутренних клиентов только через него.
Если все описанное выше не надо.
1. Как организован доступ к ресурсам инета (что за роутер стоит)
Поехали уточнять задачу.
1. есть блок реальных адресов.
2. есть частная сеть в которой используются реальные IP адреса
Необходимо.
Обеспечить безопасный доступ к инету для определенной машины с полным логом деяний или обеспечить безопасный доступ всем, при этом имея подробные логи деяний конкретной машины?
Теперь несколько рекомендаций.
Если есть техническая возможность и отсутствуют сдерживающие факторы, переведи всех на частные IP адреса. Реальные IP адреса оставь только машинам, которым это необходимо (Внешний DNS, прокси сервер, роутер и т.п)
После этого поднимай на каком-либо сервере Прокси и выпускай ВСЕХ внутренних клиентов только через него.
Если все описанное выше не надо.
1. Как организован доступ к ресурсам инета (что за роутер стоит)
Знания, которые нельзя применить - бесполезны
jnw » 11 май 2004, 14:08
2AlexB:
Нормально, не жалуюсь. Я перевел на WinRoute всю функциональность ISA Server'а (т.е., заменил одно другим) под Win2003 и пока никаких глюков не обнаружил.
2Harry33:
Спасибо за содействие. Уточняю задачу.
Дано: есть блок реальных IP-адресов. Они розданы конкретным компам в "частной" (не такой уж частной она теперь получается
) Провайдер этими адресами никак не управляет, только маршрутизирует их нам через определенный IP. Все остальное мы должны обеспечить сами.
Требуется:
1. Логировать весь трафик, идущий на адреса этого блока (входящий и исходящий).
2. Обеспечить Web-proxy для запросов из диапазона наружу.
3. Обеспечить возможность закрыть какой-либо порт и/или IP для доступа из блока.
4. НЕ ТРЕБУЕТСЯ каким-либо образом ограничивать входящий трафик для компов в блоке. Он - только логируется.
К сожалению, исходные данные изменить нельзя, иначе не было бы и вопросов.
Нормально, не жалуюсь. Я перевел на WinRoute всю функциональность ISA Server'а (т.е., заменил одно другим) под Win2003 и пока никаких глюков не обнаружил.
2Harry33:
Спасибо за содействие. Уточняю задачу.
Дано: есть блок реальных IP-адресов. Они розданы конкретным компам в "частной" (не такой уж частной она теперь получается
) Провайдер этими адресами никак не управляет, только маршрутизирует их нам через определенный IP. Все остальное мы должны обеспечить сами.
Требуется:
1. Логировать весь трафик, идущий на адреса этого блока (входящий и исходящий).
2. Обеспечить Web-proxy для запросов из диапазона наружу.
3. Обеспечить возможность закрыть какой-либо порт и/или IP для доступа из блока.
4. НЕ ТРЕБУЕТСЯ каким-либо образом ограничивать входящий трафик для компов в блоке. Он - только логируется.
К сожалению, исходные данные изменить нельзя, иначе не было бы и вопросов.
alexkr » 13 май 2004, 02:45
задача примерно таже
стоял WinGate- система работала через Nat и одновременно через Proxy т.е.
Web,DNS-через Nat, раздача интенета клиентам через Proxy.
Но были дыры, тормоза-возможно из за настройки.
Сейчас рассматриваю ISA но пока без результатов
раздача инета есть почта бегает не полчается привязать внешние серваки.
Из всего что перебирал в принципе достойны WinGate,WinRoute,ISA остальное
дело настройки.Но это чисто мое субьективное мнение.
стоял WinGate- система работала через Nat и одновременно через Proxy т.е.
Web,DNS-через Nat, раздача интенета клиентам через Proxy.
Но были дыры, тормоза-возможно из за настройки.
Сейчас рассматриваю ISA но пока без результатов
раздача инета есть почта бегает не полчается привязать внешние серваки.
Из всего что перебирал в принципе достойны WinGate,WinRoute,ISA остальное
дело настройки.Но это чисто мое субьективное мнение.
Сообщений: 7
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4