Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Umstrukturierung Internet Access Firma

Frage Sicherheit Firewall

Mitglied: clSchak

clSchak (Level 2) - Jetzt verbinden

18.04.2014, aktualisiert 07:58 Uhr, 3093 Aufrufe, 7 Kommentare

Hallo und einen guten Morgen an dem schönen Feiertag

Wir bekommen in 3 Monaten einen Schwung neuer Hardware unter anderem auch eine andere Firewall, da die aktuelle Leistungstechnisch und vom Alter her nicht mehr ausreicht. Aus dem Grund würde ich gerne die Internetanbindung der Clients ändern - so lange das überhaupt Sinn macht, also Bitte die Bärte noch nicht ankleben und noch keine Steine beim Händler kaufen .

Die aktuelle Konfiguration sieht wie folgt aus:

fd5d643a161ee09d81793d6f7ce24e0b - Klicke auf das Bild, um es zu vergrößern

Die FW #1 (Forefront TMG) dient als ersten FW und ist für die Authentifizierung (FBA Auth) diverser interner Seiten zuständig, u.a. auch Sharepoint. Der Gesamte Traffic wird in Summe durch die beiden Firewalls durchgereicht, somit müssen neue Regeln auch immer an zwei Stellen gepflegt werden. Im Moment ist das Problem, das der TMG diverse Dienste (z.B. Skype, Lync) "blockiert" - die funktionieren wohl, allerdings ist die Bild- und Sprachqualität ziemlich bescheiden, obwohl hier weder ein Proxy noch irgend etwas anderes den Traffic stören würde. Leistungstechnisch ist der Server überhaupt nicht ausgelastet - nicht einmal ansatzweise.

Wenn man im Gästenetz unterwegs ist, dass auf 10Mbit gedrosselt ist, was nicht über die FW #1 sondern nur über FW #2 geht, hat man keinerlei Probleme mit Lync oder Skype, Video und Sprachqualität sind Top.

Aus dem Grund würde ich den Aufbau gerne wie folgt anpassen:

f6bccf425420899b7d9d850e16eb5e66 - Klicke auf das Bild, um es zu vergrößern

Server und Auth bleiben wie es ist, die Clients können nun allerdings ins Netz ohne das FW#1 im Spiel ist, Zugriffsregeln (Internes LAN -> Internet) sind bei beiden FW's nahezu gleich, auf der FW#2 laufen auch die HTTP & HTTPs Proxies, Webfilter usw. - die DMZ würde dann über separate VLANs zum TMG weitergeleitet werden. Clients und Server bekommen dann jeweils einen eigenen Adresspool (wir haben 2 x IPv4 Adresse in unterschiedlichen IP Bereichen).

Meine Frage ist nun, ist das so legitim oder gehört man gesteinigt wenn man das so macht?

Über Konstruktive Kritik und Anmerkungen wäre ich sehr dankbar

Grüße am sonnigen Freitag
@clSchak

PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Mitglied: aqui
18.04.2014 um 11:11 Uhr
Bauchschmerzen macht einem nur die fehlende Redundanz in deinem Design?! Denkbar wäre es ja auch beide Firewalls zu einem Cluster zusammenzufassen und diese dann wenigstens redundant anzubinden an das Interne- und Server LAN. Damit hättest du noch ein Load Balacing des Traffics was den Voice- und Bilddaten dann auch helfen würde. 2 Fliegen also.....
Im Server LAN könntest du dann eine SW Firewall wie Vyatta o.ä. laufen lassen.
Es gibt halt viele Optionen für so ein Design...
Bitte warten ..
Mitglied: clSchak
18.04.2014 um 17:42 Uhr
Die FW#2 ist ein Active-Passive Cluster, Loadbalancing macht bei uns keinen Sinn, wir haben eine STM1 155Mbit und als Backup eine Kupfer 10Mbit - das exakte Design (VRRP Router im internen Netz usw) habe ich jetzt nicht mit eingezeichnet, mir geht es lediglich darum, ob man ohne Bauchschmerzen die Clients so in's Internet bringen kann.
Bitte warten ..
Mitglied: Dani
18.04.2014 um 18:23 Uhr
Hallo clSchak,
PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Auf jeden Fall installieren. Denn über die Clients kommst du ans Servernetz ohne an FW2 vorbei zu müssen. Da kannst du FW2 auch gleich weglassen.
Es hängt auch ein bisschen ab in welchen Bereich dein Unternehmen tätig ist. Was gibt es zu schützen und wie viel sind die Daten wert.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014, aktualisiert um 09:31 Uhr
Die FW zwischen Client & Servernetz muss dann auf jeden Fall kommen, dass ist korrekt.

Vyatta gehört ja nun zu Brocade, ich will hoffen das die Software auch weiterhin kostenlos bleibt - alternativ habe ich mir auch pfense angesehen, aber passen die Hardwareanforderungen?


6-8Mbps
With the typical residential or small office broadband connection of up to 6-8 Mbps you can get by with the minimum requirements.
10-20 Mbps
No less than 266 MHz CPU
21-50 Mbps
No less than 500 MHz CPU
51-200 Mbps
No less than 1.0 GHz CPU
201-500 Mbps
Server class hardware with PCI-X or PCI-e network adapters, or newer desktop hardware with PCI-e network adapters. No less than 2.0 GHz CPU.
501+ Mbps
Server class hardware with PCI-X or PCI-e network adapters. No less than 3.0 GHz CPU.

Da müsste dann ja schon einiges an CPU Leistung kommen, der Schnitt, bei Regelbetrieb, an Belastung Client <-> Server liegt bei 4-5Gb (290 Clients alleine an einem Standort).

Passen die o.g. Angaben was die Leistungsanforderung betreffen? Dann müsste ich ja 2 x Sockel haben wo jeweils ein 6 Kerner á 3Ghz drauf steckt - oder reicht hier auch ein 6C á 3.0Ghz - als Interfaces werden entweder Intel 10Gb SFP+ DP Adapter oder vergleichbares von Broadcom zum Einsatz kommen.
Bitte warten ..
Mitglied: Dani
22.04.2014 um 10:01 Uhr
Moin,
dann hast du aber drei Firewalls zu pflegen... brauchst du eine Abm? Ich würde das alte Design behalten und den TMG entsprechend ersetzen. Das dürfte von Zeit/Geldaufwand am Einfachsten sein.

Wir haben mit den Daten damals auch geplant. Aber statt Broadcom solltest du primär Intel-Karten verwenden. Ich meine es gibt eine Kompatibilitätsliste.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014 um 10:17 Uhr
Stimmt, daran habe ich direkt nicht gedacht, ich kann auch den TMG dort einsetzen, muss halt nur die Hardware ein wenig "aufgerüstet" werden, aber das wird kein Problem sein (ab und an rennt man echt mit der Kirche um's Dorf )
Bitte warten ..
Mitglied: Dani
22.04.2014 um 12:04 Uhr
Früher oder später wirst du den TMG sowieso ausnehmen müssen. Gerade mit Lync 2013 und und und... bau es zukunftsicher.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Umstrukturierung von Verzeichnissen
Frage von original-meiBatch & Shell5 Kommentare

Hallo zusammen, nach einigen Stunden komme ich jetzt nicht mehr weiter und erhoffe mir hier Hilfe von euch. Hier ...

Netzwerkgrundlagen
Wenig internet verteilen an: Firma, privat und Feriengäste - Proxy?
Frage von nordie92Netzwerkgrundlagen12 Kommentare

Moin moin, Kaum wieder zuhause eingezogen kommt Mutti mit einer fetten Wunschliste :P Grund ist ein moderner gewordener Landwirtschaftlicher ...

Informationsdienste
RD Web Access über Internet - Zertifikatsfehler
gelöst Frage von HenryyyInformationsdienste11 Kommentare

Guten Tag, seid ca. 3 Tagen versuche ich eine Verbindung zum Server über Remote Desktop Web Access herzustellen. Kurz ...

HTML
Access-Datei allgemein im Internet zugänglich machen
Frage von KohlenklauHTML3 Kommentare

Ich schlage mich mit folgendem Problem herum: Eine Archiv-Verwaltung mündete in eine Access-Datenbank mit inzwischen mehr als 38000 Datensätzen. ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 StundeInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 4 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 5 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 8 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement18 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...