kiko 11 Geschrieben 21. März 2005 Melden Teilen Geschrieben 21. März 2005 Hallo Leute :D na endlich zeigt sich der Frühling und die Stimmung ist viel besser als sonst. Zu meiner Frage: Ich habe einen Proxy Server der bei uns in der DMZ steht. Der wird für die Internet zugänge genutzt. Jetzt spiele ich mit dem Gedanken den Proxy Server von der DMZ rauszunehmen und im Netzwerk zu stellen. So dass die User als erstes auf den Proxy kommen und die Anfrage erst dann durch die FW geht. Ich verspreche mir dadurch eine "entlastung" der FW. Ich habe aber so ein komisches Gefühl bei der Sache.. Wie denkt ihr darüber? Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 21. März 2005 Melden Teilen Geschrieben 21. März 2005 hi! -> VERGESSEN! proxy gehört in die DMZ! entlastung hin oder her. außerdem was soll da groß entlastet werden?! was für ne FW hast du denn? Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 21. März 2005 Melden Teilen Geschrieben 21. März 2005 hallo, ob ein proxy (es kommt darauf an, was der proxy macht, nur reiner proxy, proxy+http-scan, proxy+policy, etc.) in der dmz wirklich einen enormen sicherheitsvorteil bringt ist zu diskutieren, vom traffic her wird es der firewall egal sein, ob jetzt die clients den traffic über die firewall verursachen, oder nur der proxy. es kommt auf die struktur deiner dmz an. wenn die dmz an einer firewall hängt, dann muss der gesamte datenverkehr über dieses eine interface rein und wieder raus. das würde dann, wenn der proxy in der dmz steht, sogar noch mehr traffic, als vorher, erzeugen. denn, der traffic vom client geht über die firewall zum proxy, der proxy geht über die firewall ins internet, und die rückantwortpakte gehen vom internet zum proxy wieder über die firewall zum client (und nochmal über die firewall), also vier mal.... lg martin Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 21. März 2005 Melden Teilen Geschrieben 21. März 2005 also im standard-fall: -eth0 external -eth1 optional = DMZ -eth2 internal würd ich den proxy immer in die DMZ packen. wenn dieser zusätzlich zum normalen http-proxy auch noch scanned sowieso. hast du so große performance probleme? was für ´ne firewall? ist der proxy performant genug? Zitieren Link zu diesem Kommentar
kiko 11 Geschrieben 21. März 2005 Autor Melden Teilen Geschrieben 21. März 2005 Hi Leute und danke erstmal :D Ich habe eine Checkpoint NG AI. Im Moment habe ich keine Performance Probleme, aber es tritt genau dass in Kraft was s21it21 beschrieben hat. Deswegen spiele ich mit diesen Gedanken.. Mein Proxy ist ein Linux Server SuSE 7.3. Er ist für http und socks verantwortlich mehr nicht... :rolleyes: Nur werden unsere Leute hier immer mehr und ich überlege ob es in einigen Monaten es vielleicht zu Problemen kommen könnte. Was würde denn dagegen sprechen eurer Meinung nach diesen Schritt zu machen. Ich bin auch immer der Meinung gewesen dass der proxy in der DMZ gehört und nirgendwo anders.. Das ist aber im Moment ein hin und her mit dem traffic.. :wink2: Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 21. März 2005 Melden Teilen Geschrieben 21. März 2005 naja,da würd ich mir aber eher ne performantere FW ins Haus holen, als die DMZ aufzulösen!! hast du mal den traffic gemessen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.