Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Umstrukturierung Internet Access Firma

Frage Sicherheit Firewall

Mitglied: clSchak

clSchak (Level 2) - Jetzt verbinden

18.04.2014, aktualisiert 07:58 Uhr, 2962 Aufrufe, 7 Kommentare

Hallo und einen guten Morgen an dem schönen Feiertag

Wir bekommen in 3 Monaten einen Schwung neuer Hardware unter anderem auch eine andere Firewall, da die aktuelle Leistungstechnisch und vom Alter her nicht mehr ausreicht. Aus dem Grund würde ich gerne die Internetanbindung der Clients ändern - so lange das überhaupt Sinn macht, also Bitte die Bärte noch nicht ankleben und noch keine Steine beim Händler kaufen .

Die aktuelle Konfiguration sieht wie folgt aus:

fd5d643a161ee09d81793d6f7ce24e0b - Klicke auf das Bild, um es zu vergrößern

Die FW #1 (Forefront TMG) dient als ersten FW und ist für die Authentifizierung (FBA Auth) diverser interner Seiten zuständig, u.a. auch Sharepoint. Der Gesamte Traffic wird in Summe durch die beiden Firewalls durchgereicht, somit müssen neue Regeln auch immer an zwei Stellen gepflegt werden. Im Moment ist das Problem, das der TMG diverse Dienste (z.B. Skype, Lync) "blockiert" - die funktionieren wohl, allerdings ist die Bild- und Sprachqualität ziemlich bescheiden, obwohl hier weder ein Proxy noch irgend etwas anderes den Traffic stören würde. Leistungstechnisch ist der Server überhaupt nicht ausgelastet - nicht einmal ansatzweise.

Wenn man im Gästenetz unterwegs ist, dass auf 10Mbit gedrosselt ist, was nicht über die FW #1 sondern nur über FW #2 geht, hat man keinerlei Probleme mit Lync oder Skype, Video und Sprachqualität sind Top.

Aus dem Grund würde ich den Aufbau gerne wie folgt anpassen:

f6bccf425420899b7d9d850e16eb5e66 - Klicke auf das Bild, um es zu vergrößern

Server und Auth bleiben wie es ist, die Clients können nun allerdings ins Netz ohne das FW#1 im Spiel ist, Zugriffsregeln (Internes LAN -> Internet) sind bei beiden FW's nahezu gleich, auf der FW#2 laufen auch die HTTP & HTTPs Proxies, Webfilter usw. - die DMZ würde dann über separate VLANs zum TMG weitergeleitet werden. Clients und Server bekommen dann jeweils einen eigenen Adresspool (wir haben 2 x IPv4 Adresse in unterschiedlichen IP Bereichen).

Meine Frage ist nun, ist das so legitim oder gehört man gesteinigt wenn man das so macht?

Über Konstruktive Kritik und Anmerkungen wäre ich sehr dankbar

Grüße am sonnigen Freitag
@clSchak

PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Mitglied: aqui
18.04.2014 um 11:11 Uhr
Bauchschmerzen macht einem nur die fehlende Redundanz in deinem Design?! Denkbar wäre es ja auch beide Firewalls zu einem Cluster zusammenzufassen und diese dann wenigstens redundant anzubinden an das Interne- und Server LAN. Damit hättest du noch ein Load Balacing des Traffics was den Voice- und Bilddaten dann auch helfen würde. 2 Fliegen also.....
Im Server LAN könntest du dann eine SW Firewall wie Vyatta o.ä. laufen lassen.
Es gibt halt viele Optionen für so ein Design...
Bitte warten ..
Mitglied: clSchak
18.04.2014 um 17:42 Uhr
Die FW#2 ist ein Active-Passive Cluster, Loadbalancing macht bei uns keinen Sinn, wir haben eine STM1 155Mbit und als Backup eine Kupfer 10Mbit - das exakte Design (VRRP Router im internen Netz usw) habe ich jetzt nicht mit eingezeichnet, mir geht es lediglich darum, ob man ohne Bauchschmerzen die Clients so in's Internet bringen kann.
Bitte warten ..
Mitglied: Dani
18.04.2014 um 18:23 Uhr
Hallo clSchak,
PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Auf jeden Fall installieren. Denn über die Clients kommst du ans Servernetz ohne an FW2 vorbei zu müssen. Da kannst du FW2 auch gleich weglassen.
Es hängt auch ein bisschen ab in welchen Bereich dein Unternehmen tätig ist. Was gibt es zu schützen und wie viel sind die Daten wert.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014, aktualisiert um 09:31 Uhr
Die FW zwischen Client & Servernetz muss dann auf jeden Fall kommen, dass ist korrekt.

Vyatta gehört ja nun zu Brocade, ich will hoffen das die Software auch weiterhin kostenlos bleibt - alternativ habe ich mir auch pfense angesehen, aber passen die Hardwareanforderungen?


6-8Mbps
With the typical residential or small office broadband connection of up to 6-8 Mbps you can get by with the minimum requirements.
10-20 Mbps
No less than 266 MHz CPU
21-50 Mbps
No less than 500 MHz CPU
51-200 Mbps
No less than 1.0 GHz CPU
201-500 Mbps
Server class hardware with PCI-X or PCI-e network adapters, or newer desktop hardware with PCI-e network adapters. No less than 2.0 GHz CPU.
501+ Mbps
Server class hardware with PCI-X or PCI-e network adapters. No less than 3.0 GHz CPU.

Da müsste dann ja schon einiges an CPU Leistung kommen, der Schnitt, bei Regelbetrieb, an Belastung Client <-> Server liegt bei 4-5Gb (290 Clients alleine an einem Standort).

Passen die o.g. Angaben was die Leistungsanforderung betreffen? Dann müsste ich ja 2 x Sockel haben wo jeweils ein 6 Kerner á 3Ghz drauf steckt - oder reicht hier auch ein 6C á 3.0Ghz - als Interfaces werden entweder Intel 10Gb SFP+ DP Adapter oder vergleichbares von Broadcom zum Einsatz kommen.
Bitte warten ..
Mitglied: Dani
22.04.2014 um 10:01 Uhr
Moin,
dann hast du aber drei Firewalls zu pflegen... brauchst du eine Abm? Ich würde das alte Design behalten und den TMG entsprechend ersetzen. Das dürfte von Zeit/Geldaufwand am Einfachsten sein.

Wir haben mit den Daten damals auch geplant. Aber statt Broadcom solltest du primär Intel-Karten verwenden. Ich meine es gibt eine Kompatibilitätsliste.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014 um 10:17 Uhr
Stimmt, daran habe ich direkt nicht gedacht, ich kann auch den TMG dort einsetzen, muss halt nur die Hardware ein wenig "aufgerüstet" werden, aber das wird kein Problem sein (ab und an rennt man echt mit der Kirche um's Dorf )
Bitte warten ..
Mitglied: Dani
22.04.2014 um 12:04 Uhr
Früher oder später wirst du den TMG sowieso ausnehmen müssen. Gerade mit Lync 2013 und und und... bau es zukunftsicher.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerkgrundlagen
PFSense kein Internet Zugang (3)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Batch & Shell
CMD cURL Access Token parsen (2)

Frage von maddig zum Thema Batch & Shell ...

LAN, WAN, Wireless
Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite (4)

Frage von TimMayer zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...