ISA Server - wohin damit?

[pete.db 10]

Hallo,

ich habe eine Frage zur Platzierung vom isa-Server im Netzwerk.

Dazu habe ich ein Bild beigelegt, welches das Szenario beschreibt, das ich mir vorstelle.

 

http://www.mcseboard.de/attachment.php?attachmentid=4642&stc=1&d=1255644409

 

Kurz beschrieben:

Die Internetanbindung geht an eine Cisco. Die geht an ein Switch, an dem die DMZ-Server (Webserver auf Linux, externer DNS etc. - alles ohne AD-Konten) und der ISA-Server angebunden werden.

Die zweite NIC der ISA geht dann an ein L3-Switch von dem aus die verschiedenen internen Netze abgehen.

 

Somit würde die Kommunikation von intern (außer aus der DMZ) nach extern immer über den ISA (Proxy) gehen.

Alles was von extern nach intern will (nicht in die DMZ, sodern auf Server im Backbne-Netz am L3-Switch, wie z.B. OWA, Sharepoint, TS, interne Webserver etc. ) würde dann nach der Cisco über den ISA gehen.

 

Müsste doch eigentlich so passen, oder?

Ich finde für so ein Szenario nicht viele Beispiele im Netz. Meistens sind die DMZ-Maschinen ja dual-homed, was hier nicht der Fall wäre. Erscheint mir aber auch nicht zwingend notwendig...bin nur etwas verunsichert und würde gerne ein paar Meinungen dazu haben ;).

 

Was sagt ihr dazu?

 

Grüße

Pete

[NorbertFe 2.283]

Den Anhang seh ich noch nicht, aber gibt es einen Grund warum du die DMZ neben der ASA/PIX hast, anstatt zwischen ISA und Cisco? ;)

 

Bye

Norbert

[pete.db 10]

Die DMZ wäre hier zwischen ASA und ISA.

 

Internet - ASA - Switch - ISA - L3-Switch

|

Webserver

 

...so als Skizze, bis das Bild da ist ;)

[pete.db 10]

Der Strich und Webserver sollten eigentlich direkt unter "Switch" stehen.

[NorbertFe 2.283]

Dann wäre die Frage, warum dein Webserver neben deinen Firewalls steht ;)

 

Bye

Norbert

[pete.db 10]

Steht zwischen den Firewalls, nicht neben ihnen.

Nur eben nicht mit einer NIC am ISA und einer NIC an der ASA (was dual-homed wäre), sondern nur am Switch angeschlossen, an dem auch die ASA und der ISA hängen ;).

...und die anderen Webserver hängen auch an diesem Switch.

[NorbertFe 2.283]

ah ok. ja, dann wäre das ok. Ist das ne geroutete DMZ oder eine mit NAT auf der ASA? Wäre aber auf jeden Fall eine Konfig,die ich schon oft genauso aufgebaut hab.

 

Bye

Norbert

[pete.db 10]

Das Szenario steht noch nicht...aber ich plane, es so aufzubauen.

Wollte deswegen nur ein paar Pros und/oder Contras dazu haben ;).

 

Routing oder NAT. Was würdest du dafür empfehlen?

Aus dem Bauch heraus würde ich NAT sagen.

[NorbertFe 2.283]

kommt drauf an. Ich persönlich würde eine geroutete DMZ vorziehen, aber das hängt halt von deiner Infrastruktur ab.

 

Bye

Norbert

[djmaker 95]

Du solltest überlegen ob Du OWA direkt vom Exchange herausreichen willst. Sofern Du noch Geld für HW und SW übrig hast könntest Du einen Exchange Frontend-Server dafür in die DMZ stellen.

 

Der Rest passt soweit.

[NorbertFe 2.283]

Neee also nen Frontend in der DMZ ist auch in diesem Szenario einfach nur "Bl..sinn". Er hat einen ISA, der eine sichere Exchangeveröffentlichung beherrscht und den Zugriff deutlich besser abdeckt, als eine Positionierung eines FE Servers in der DMZ, was übrigens schon seit Jahren nicht mehr empfohlen wird, da du dazu viel zu viele Ports von der DMZ ins LAN öffnen mußt.

 

Bye

Norbert

[pete.db 10]

Das hätte mich jetzt auch etwas verwundert.

Ich will den ISA doch dem Grund aufstellen, dass ich mir Exchange-Frontend, TS-Gateway etc. in der DMZ sparen kann...

 

Aber schon mal vielen Dank für eure Unterstützung :)