ditro 10 Geschrieben 21. Mai 2009 Melden Teilen Geschrieben 21. Mai 2009 Hallo zusammen, ein Kunde will einen ISA 2006 Server und nun frage ich mich, ob es wirklich für seinen Einsatz ein ISA sein muss oder was anderes geht...und wenn ISA dann in welchem Konfigurationsmodus. Also folgendes Szenario: Der Kunde hat eine Hardware-Firewall. Dahinter ein Class A Netz (Trusted) und eine DMZ. In der DMZ steht ein SMTP Spam Filter. Die Hardwarefirewall macht kein HTTP und HTTPS Virenscanning. Deshalt will der Kunde eigentlich einen ISA Server mit einem Avira Plugin haben. Wo plaziere ich den ISA am besten und wie?? Mit nur einem Netzwerkinterface quasi im Trusted Netz nur als Web Caching Proxy oder doch in der DMZ?? Dort dann mit einem Interface oder mit 2?? In naher Zukunft soll auch noch Outlook 2007 WebAccess gemacht werden. Hoffe ihr versteht wie es so ungefähr dort aussieht. Gruß Ditro Zitieren Link zu diesem Kommentar
marc.grote 10 Geschrieben 21. Mai 2009 Melden Teilen Geschrieben 21. Mai 2009 Hi, >> ein Kunde will einen ISA 2006 Server und nun frage ich mich, ob es >> wirklich für seinen Einsatz ein ISA sein muss oder was anderes geht gut, der Kunde koennte auch auf den ISA Nachfolger TMG warten. Er kann aber jetzt schon beginnen miT ISA 2006 und wenn er SA hat, macht er ein Update auf TMG, das ist supported! >> ...und wenn ISA dann in welchem Konfigurationsmodus. schauen wir mal, was fuer Anforderungen es gibt >> Der Kunde hat eine Hardware-Firewall. Dahinter ein Class A Netz (Trusted) >> und eine DMZ. uups, was ist denn eine Hardware Firewall? So die ganze Firewall auf dem ASIC? >> In der DMZ steht ein SMTP Spam Filter. OK und gut >> Die Hardwarefirewall macht kein HTTP und HTTPS Virenscanning. Deshalt >> will der Kunde eigentlich einen ISA Server mit einem Avira Plugin haben. OK, so ist gut! Wo plaziere ich den ISA am besten und wie?? >> Mit nur einem Netzwerkinterface quasi im Trusted Netz nur als Web >> Caching Proxy kommt darauf an, was Du machen willst. Tendenz sehe ich zu einem Interface und somit Proxy. ISA mit einer NIC hat ein paar Einschraenkungen: Network Concepts in ISA Server 2006 >> oder doch in der DMZ?? Dort dann mit einem Interface oder mit 2?? nur wenn Du echtes Firewalling haben willst. Dann wuerde ich die "Hardware Firewall" als "Schmutzfaenger" benutzen und ISA das ALF ueberlassen. >> In naher Zukunft soll auch noch Outlook 2007 WebAccess gemacht werden perfekt zu loesen mit ISA! Zitieren Link zu diesem Kommentar
ditro 10 Geschrieben 21. Mai 2009 Autor Melden Teilen Geschrieben 21. Mai 2009 HI >>uups, was ist denn eine Hardware Firewall? So die ganze Firewall auf dem >>ASIC? Mit Hardwarefirewall mein ich...da steht eine Watchguard in einem HA Cluster. Die das Trusted Netz vom WAN und von der DMZ trennt. Diese Firewall soll auch in jedem Fall erhalten bleiben. Diese übernimmt weiterhin die VPN Verbindungen zu außenstellen und Terminiert Mobile User ins Trusted Netz >>> In der DMZ steht ein SMTP Spam Filter. >OK und gut >>> Die Hardwarefirewall macht kein HTTP und HTTPS Virenscanning. Deshalt >>> will der Kunde eigentlich einen ISA Server mit einem Avira Plugin haben. >>OK, so ist gut! >Wo plaziere ich den ISA am besten und wie?? >>> Mit nur einem Netzwerkinterface quasi im Trusted Netz nur als Web >>> Caching Proxy kommt darauf an, was Du machen willst. Tendenz sehe ich zu einem Interface und somit Proxy. ISA mit einer NIC hat ein paar Einschraenkungen: Network Concepts in ISA Server 2006 Okay, ich tendiere auch nur zum reinen Proxy Server. Kommt dieser dann in die DMZ oder ins Trusted?? >>> oder doch in der DMZ?? Dort dann mit einem Interface oder mit 2?? >>nur wenn Du echtes Firewalling haben willst. Dann wuerde ich die >>"Hardware Firewall" als "Schmutzfaenger" benutzen und ISA das ALF >>ueberlassen. ALF?? Dann muss ich aber von dem jetztigen Konzept weg, dass die Hardwarefirewall auch sämtliches Routing vom Trused übernimmt - quasi als Gateway fungiert, oder?? Das GW wäre dann doch der ISA und der würde mir dann die DMZ mit dem SPAM bereitstellen... >>> In naher Zukunft soll auch noch Outlook 2007 WebAccess gemacht werden >perfekt zu loesen mit ISA! Aber nur wenn er als GW fürs Trusted Netz ist...und die jetzige DMZ weg kommt, oder?? Also es sieht so aus WAN | Watchguard - DMZ | Trusted wohin also den ISA?? Gruß Zitieren Link zu diesem Kommentar
ditro 10 Geschrieben 21. Mai 2009 Autor Melden Teilen Geschrieben 21. Mai 2009 >>> In naher Zukunft soll auch noch Outlook 2007 WebAccess gemacht werden >perfekt zu loesen mit ISA! Wenn der ISA aber im Konfigurationsmodus des WebCaching + Proxy Servers ist, kann der dann noch mit dem WebAccess verbunden werden, oder macht das dann keinen Sinn?? Zitieren Link zu diesem Kommentar
marc.grote 10 Geschrieben 21. Mai 2009 Melden Teilen Geschrieben 21. Mai 2009 Hi, >> Wenn der ISA aber im Konfigurationsmodus des WebCaching + Proxy >> Servers ist, kann der dann noch mit dem WebAccess verbunden werden, >> oder macht das dann keinen Sinn?? juup, das geht noch. Webserververoeffentlichungen sind moeglich Zitieren Link zu diesem Kommentar
marc.grote 10 Geschrieben 21. Mai 2009 Melden Teilen Geschrieben 21. Mai 2009 Hi, >> ALF?? Application layer Filtering >> Dann muss ich aber von dem jetztigen Konzept weg, >> dass die Hardwarefirewall auch sämtliches Routing vom Trused übernimmt - >> quasi als Gateway fungiert, oder?? Wenn ISA zwei Beine bekommt und Firewall sein soll, musst Du das Routing ueberdenken und ein Transfer Netz einrichten, ACK! >> Das GW wäre dann doch der ISA und der würde mir dann die DMZ mit dem >> SPAM bereitstellen... Du kannst als als GW betreiben, abe rbesser als Back to back Firewall Szenario mit ISA als Backend und die Watchguard als "Schmutzfaenger". Dazwischen ein Transfer netzwerk und halt den Spam Filter >> Aber nur wenn er als GW fürs Trusted Netz ist...und die jetzige DMZ weg >> kommt, oder?? nein kannst Du so lassen. >> wohin also den ISA?? 1. Idee: WAN | Watchguard - DMZ | | ISA Server mit Proxyfunktionalitaet Trusted 2. Idee: WAN | Watchguard | DMZ - Spam Filter | ISA Server im Firewall Modus Zitieren Link zu diesem Kommentar
ditro 10 Geschrieben 22. Mai 2009 Autor Melden Teilen Geschrieben 22. Mai 2009 versteh ich dich richtig?? 1. Idee: WAN | Watchguard - DMZ | | ISA Server mit Proxyfunktionalitaet Trusted Hierbei steht der ISA im Trusted Netz und es bleibt quasi alles so wie es ist. 2. Idee: WAN | Watchguard | DMZ - Spam Filter | ISA Server im Firewall Modus Hier steht der ISA in der DMZ. Kommt dann hinter dem ISA das Trusted?? Und dann quasi der ISA als GW für die Trusted PCs?? Gruß Dennis Zitieren Link zu diesem Kommentar
ditro 10 Geschrieben 25. Mai 2009 Autor Melden Teilen Geschrieben 25. Mai 2009 *push* Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.