Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Umstrukturierung Internet Access Firma

Frage Sicherheit Firewall

Mitglied: clSchak

clSchak (Level 2) - Jetzt verbinden

18.04.2014, aktualisiert 07:58 Uhr, 3024 Aufrufe, 7 Kommentare

Hallo und einen guten Morgen an dem schönen Feiertag

Wir bekommen in 3 Monaten einen Schwung neuer Hardware unter anderem auch eine andere Firewall, da die aktuelle Leistungstechnisch und vom Alter her nicht mehr ausreicht. Aus dem Grund würde ich gerne die Internetanbindung der Clients ändern - so lange das überhaupt Sinn macht, also Bitte die Bärte noch nicht ankleben und noch keine Steine beim Händler kaufen .

Die aktuelle Konfiguration sieht wie folgt aus:

fd5d643a161ee09d81793d6f7ce24e0b - Klicke auf das Bild, um es zu vergrößern

Die FW #1 (Forefront TMG) dient als ersten FW und ist für die Authentifizierung (FBA Auth) diverser interner Seiten zuständig, u.a. auch Sharepoint. Der Gesamte Traffic wird in Summe durch die beiden Firewalls durchgereicht, somit müssen neue Regeln auch immer an zwei Stellen gepflegt werden. Im Moment ist das Problem, das der TMG diverse Dienste (z.B. Skype, Lync) "blockiert" - die funktionieren wohl, allerdings ist die Bild- und Sprachqualität ziemlich bescheiden, obwohl hier weder ein Proxy noch irgend etwas anderes den Traffic stören würde. Leistungstechnisch ist der Server überhaupt nicht ausgelastet - nicht einmal ansatzweise.

Wenn man im Gästenetz unterwegs ist, dass auf 10Mbit gedrosselt ist, was nicht über die FW #1 sondern nur über FW #2 geht, hat man keinerlei Probleme mit Lync oder Skype, Video und Sprachqualität sind Top.

Aus dem Grund würde ich den Aufbau gerne wie folgt anpassen:

f6bccf425420899b7d9d850e16eb5e66 - Klicke auf das Bild, um es zu vergrößern

Server und Auth bleiben wie es ist, die Clients können nun allerdings ins Netz ohne das FW#1 im Spiel ist, Zugriffsregeln (Internes LAN -> Internet) sind bei beiden FW's nahezu gleich, auf der FW#2 laufen auch die HTTP & HTTPs Proxies, Webfilter usw. - die DMZ würde dann über separate VLANs zum TMG weitergeleitet werden. Clients und Server bekommen dann jeweils einen eigenen Adresspool (wir haben 2 x IPv4 Adresse in unterschiedlichen IP Bereichen).

Meine Frage ist nun, ist das so legitim oder gehört man gesteinigt wenn man das so macht?

Über Konstruktive Kritik und Anmerkungen wäre ich sehr dankbar

Grüße am sonnigen Freitag
@clSchak

PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Mitglied: aqui
18.04.2014 um 11:11 Uhr
Bauchschmerzen macht einem nur die fehlende Redundanz in deinem Design?! Denkbar wäre es ja auch beide Firewalls zu einem Cluster zusammenzufassen und diese dann wenigstens redundant anzubinden an das Interne- und Server LAN. Damit hättest du noch ein Load Balacing des Traffics was den Voice- und Bilddaten dann auch helfen würde. 2 Fliegen also.....
Im Server LAN könntest du dann eine SW Firewall wie Vyatta o.ä. laufen lassen.
Es gibt halt viele Optionen für so ein Design...
Bitte warten ..
Mitglied: clSchak
18.04.2014 um 17:42 Uhr
Die FW#2 ist ein Active-Passive Cluster, Loadbalancing macht bei uns keinen Sinn, wir haben eine STM1 155Mbit und als Backup eine Kupfer 10Mbit - das exakte Design (VRRP Router im internen Netz usw) habe ich jetzt nicht mit eingezeichnet, mir geht es lediglich darum, ob man ohne Bauchschmerzen die Clients so in's Internet bringen kann.
Bitte warten ..
Mitglied: Dani
18.04.2014 um 18:23 Uhr
Hallo clSchak,
PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Auf jeden Fall installieren. Denn über die Clients kommst du ans Servernetz ohne an FW2 vorbei zu müssen. Da kannst du FW2 auch gleich weglassen.
Es hängt auch ein bisschen ab in welchen Bereich dein Unternehmen tätig ist. Was gibt es zu schützen und wie viel sind die Daten wert.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014, aktualisiert um 09:31 Uhr
Die FW zwischen Client & Servernetz muss dann auf jeden Fall kommen, dass ist korrekt.

Vyatta gehört ja nun zu Brocade, ich will hoffen das die Software auch weiterhin kostenlos bleibt - alternativ habe ich mir auch pfense angesehen, aber passen die Hardwareanforderungen?


6-8Mbps
With the typical residential or small office broadband connection of up to 6-8 Mbps you can get by with the minimum requirements.
10-20 Mbps
No less than 266 MHz CPU
21-50 Mbps
No less than 500 MHz CPU
51-200 Mbps
No less than 1.0 GHz CPU
201-500 Mbps
Server class hardware with PCI-X or PCI-e network adapters, or newer desktop hardware with PCI-e network adapters. No less than 2.0 GHz CPU.
501+ Mbps
Server class hardware with PCI-X or PCI-e network adapters. No less than 3.0 GHz CPU.

Da müsste dann ja schon einiges an CPU Leistung kommen, der Schnitt, bei Regelbetrieb, an Belastung Client <-> Server liegt bei 4-5Gb (290 Clients alleine an einem Standort).

Passen die o.g. Angaben was die Leistungsanforderung betreffen? Dann müsste ich ja 2 x Sockel haben wo jeweils ein 6 Kerner á 3Ghz drauf steckt - oder reicht hier auch ein 6C á 3.0Ghz - als Interfaces werden entweder Intel 10Gb SFP+ DP Adapter oder vergleichbares von Broadcom zum Einsatz kommen.
Bitte warten ..
Mitglied: Dani
22.04.2014 um 10:01 Uhr
Moin,
dann hast du aber drei Firewalls zu pflegen... brauchst du eine Abm? Ich würde das alte Design behalten und den TMG entsprechend ersetzen. Das dürfte von Zeit/Geldaufwand am Einfachsten sein.

Wir haben mit den Daten damals auch geplant. Aber statt Broadcom solltest du primär Intel-Karten verwenden. Ich meine es gibt eine Kompatibilitätsliste.


Grüße,
Dani
Bitte warten ..
Mitglied: clSchak
22.04.2014 um 10:17 Uhr
Stimmt, daran habe ich direkt nicht gedacht, ich kann auch den TMG dort einsetzen, muss halt nur die Hardware ein wenig "aufgerüstet" werden, aber das wird kein Problem sein (ab und an rennt man echt mit der Kirche um's Dorf )
Bitte warten ..
Mitglied: Dani
22.04.2014 um 12:04 Uhr
Früher oder später wirst du den TMG sowieso ausnehmen müssen. Gerade mit Lync 2013 und und und... bau es zukunftsicher.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Internet Explorer schliesst direkt bei Start (9)

Frage von gabeBU zum Thema Webbrowser ...

LAN, WAN, Wireless
Rogue Access Point (11)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Basiswissen CiscoVPN: Internet nicht über den Tunnel (4)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...