Tom_L3 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Hallo, ich habe mal eine grundsätzliche Frage zu DMZs - folgende Konstellation wird benötigt : Standleitung => Router => ISA 2004 => internes Netz mit SQL Produktionsumgebung vom ISA 2004 eine sepparate Netzwerkkarte zu einem IIS Webserver - meine Dau Frage zum IIS - wie kann dieser eine sichere Anbindung an einen SQL Server im internen Netz erhalten ? Der IIS arbeitet über ein Frontend auch auf der zentralen SQL... Wie würdet ihr das lösen? Zur Debatte steht auch, wo und wie (Hardware) angebunden hier der Exchange (allerdings über POP Connector zu einem externen Server...) landen soll. Danke für die Hilfe. Grüße Tom Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 22. Juli 2005 Melden Teilen Geschrieben 22. Juli 2005 Exchange: Also um einen Exchange im LAN wirst du nicht rumkommen. Übliches Design ist aber in der DMZ einen "relay" meist auf Linux Basis zu haben, der die Mails per Pop3 abholt und auf Viren/Spam prüft und dann an den Exchange weitergibt (Was natürlich den Virenscanner auf dem Exchange nicht ersetzt). Diese Linuxe gibts outofthe Box um kein shell-guru werden zu müssen. Bsp: Astaro, Linogate, Troygate, usw. Ist die Linux Box nicht mehr im Budget, dann musst du das vom Exchange machen lassen. Der sollte dann aber im internen Lan stehen. Du kannst hier dann aber die Konfiguration am ISA so einstellen dass POP und SMTP nur ausgehend vom Exchange gehen und nicht eingehend. IIS und SQL: Theoretisch ist dein Ansatz genau der richtige. Allerdings muss dein IIS sauber und sicher konfiguriert sein, damit nur die IIS Applikationen SQL-Kommandos in Richtung SQL loslassen darf. Von ISA Seite her hast du dann Port 80 eingehend zum IIS erlaubt, und vom IIS zum SQL lässt du SQL (1433 tcp und udp) zu. Wichtig sind 2 Dinge: 1. Die Netze DMZ - LAN - und Outside müssen physikalisch getrennt sein (unterschiedliche Switsche oder VLANs). 2. Auf IIS Admin Seiten und Fernsteuerungsmechanismen würde ich nach Möglichkeit verzichten! Viel Erfolg Götz Zitieren Link zu diesem Kommentar
Tom_L3 10 Geschrieben 23. Juli 2005 Autor Melden Teilen Geschrieben 23. Juli 2005 Hi, Danke für die Antwort - also in der Struktur hat der IIS nur die (eine) Netzverbindung zum IAS und schleift darüber in das interne Netz durch (?) Den POP3 Connector dürfte ich problemlos auch auf dem IIS unterbringen können. Grüße Tom Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.