mikeage@linode ~$ aptitude -h | tail -n 1
This aptitude does not have Super Cow Powers.
mikeage@linode ~$ apt-get -h | tail -n 1
This APT has Super Cow Powers.
mikeage@linode ~$ aptitude moo
There are no Easter Eggs in this program.
mikeage@linode ~$ apt-get moo
(__)
(oo)
/------\/
/ | ||
* /\---/\
~~ ~~
...."Have you mooed today?"...
mikeage@linode ~$ aptitude -v moo
There really are no Easter Eggs in this program.
mikeage@linode ~$ aptitude -vv moo
Didn't I already tell you that there are no Easter Eggs in this program?
mikeage@linode ~$ aptitude -vvv moo
Stop it!
mikeage@linode ~$ aptitude -vvvv moo
Okay, okay, if I give you an Easter Egg, will you go away?
mikeage@linode ~$ aptitude -vvvvv moo
All right, you win.
/----\
-------/ \
/ \
/ |
-----------------/ --------\
----------------------------------------------
mikeage@linode ~$ aptitude -vvvvvv moo
What is it? It's an elephant being eaten by a snake, of course.
Можно использовать RRAS для брандмауэринга, NAT и VPN, таким образом, да, можно дать единственный общедоступный IP-адрес брандмауэру Windows Server 2008 и иметь его трафик маршрута для всей внутренней сети и передать определенные порты (f.e. 80) к Вашим внутренним серверам, и у Вас может также быть он действие как сервер VPN (PPTP и/или L2TP). RRAS был вокруг начиная с Windows 2000, и это делает свое задание вполне приятно для простых установок.
Это не полное решение для брандмауэра/прокси, хотя; Вы не можете определить мелкомодульные политики, это не делает никакого веб-проксирования (быть этим прямо или реверс), это не может отфильтровать трафик на прикладном уровне, и это не регистрирует сетевой трафик для дальнейшего анализа.
Короче говоря: да, RRAS может сделать что-либо, в чем Вы нуждаетесь, просто и несколько грубо; но это не полноценный доступ к сети и решение по обеспечению безопасности как ISA или TMG.
Если Вы установлены при использовании поля Server2008 как Ваш брандмауэр, то можно хотеть рассмотреть использование ISA.
Быть честным, почему бы не пойти с серединой низкокачественного маршрутизатора Малого бизнеса от linksys. Я использую RV042 в той точной установке. У меня есть один IP-адрес, который передается веб-серверу (использующий NAT) на 80 и 443, и маршрутизатор является сервером VPN также просто использование клиента VPN Windows. Это - приблизительно 200$ затем, Ваш сервер на самом деле физически удален из Интернета, должен что-то на программном брандмауэре сервера быть случайно выключенным, это не будет находиться выставленное в Интернете.
Мы используем Брандмауэр Kerio Winroute на наших серверах окон. Это не делает обратного прокси вообще, но что касается всего остального, что это вполне прилично поддерживается с функциями. Мы использовали его в течение 8/9 лет через различные версии, и в настоящее время это очень хорошо. Это также более дешево, чем ISA и намного легче настроить.
Что касается обратного прокси, мы имеем не нужный, что все же, но был бы интересно узнавать то, что Вы делаете в конце, если Вы должны. Мы до сих пор обошли его, поскольку у нас есть блок IP-адресов, поэтому просто отображают IP-адреса к различным внутренним серверам.
Сообщите мне, нуждаетесь ли Вы в какой-либо помощи с конфигурированием его вообще.
Вы не сказали, на какую платформу Вы смотрите, таким образом, я иду в recommened m0n0wall.
Это - комплексная переупаковка FreeBSD для использования в качестве брандмауэра/маршрутизатора/и т.д.
Править
обновляя на основе комментариев от Django, я думал, что серверы Win2k8 должны были быть ПОЗАДИ брандмауэра, не, на который можно УСТАНОВИТЬ брандмауэр
С при этом, моя первоначальная рекомендация m0n0wall не имеет никакого смысла :)
Если Вы передумали, тем не менее, это может все еще :)
Я просто настроил что-то довольно подобное приблизительно час назад. Windows Server 2008 R2 является полностью эффективным решением для того, что Вы делаете.
Я соглашаюсь с комментариями до сих пор об использовании ISA для брандмауэра. Брандмауэр Windows мог работать, но это является довольно основным и не имеет никакого IDS или фильтрации. ISA является способом пойти, если Вы можете, в других отношениях Windows Firewall быть в порядке как стартовая площадка.
Для Вашей VPN, нет, DNS и DHCP не должны быть на том же сервере как RRAS. DNS может быть где угодно, и DHCP просто должен быть во внутренней подсети.
Для Вашего внутреннего дюйм/с они могут произойти на сервере брандмауэра/маршрутизатора, таким образом, верхняя левая строка в Вашей схеме является действительно строкой в зеленой строке. Используйте VPN для соединения с firewall/router/vpn сервером, который присвоит внутренний IP.
Для сервера базы данных просто дайте ему внутренний IP, и это только будет доступно с внутренней части.
На внутреннем NIC сервера маршрутизатора присвойте x.x.x.1 (т.е. 10.0.0.1) IP и использование что как Ваш шлюз для Вашего внутреннего NIC на веб-сервере и для Вашего сервера базы данных. Это даст Вам внутреннюю сеть и маршрутизацию.
Кроме того, при установке Сервера Шлюза RD Вы можете RDP к своему внутреннему компьютеру снаружи сети также.
1) О маршрутизации Да все это может быть просто направлено к Вашему IIS с RRAS, только необходимо настроить надлежащий DNS записи и сделать несколько щелчков в снимке RRAS - в, и также необходимо установить IIS для наверстывания надлежащих заголовков и портов.
2) Возможно работать без брандмауэра, но конечно это уменьшит безопасность. Возможно поместить простой FreeBSD, Linux, или что-либо еще основывало граничный брандмауэр или простой аппаратный брандмауэр.
3) Windows 2008 предлагает большой SSTP, помимо PPTP и L2TP, туннелей VPN, который не зависит от протокола GRE и работы везде. Но Вам действительно нужны туннели VPN? 2008 сервера также предлагает замечательную особенность TS RemoteApp, которая является более надежно, потому что не предлагает полного доступа к сети сервера, но только к конкретному приложению.
Вы планируете сервер для хостинга внутренних веб-обращений за помощью также?
У меня была подобная ваша проблема. Джентльмен на этом форуме рекомендовал мне использовать Шлюз безопасности Astaro.
Я захватил их бесплатную домашнюю лицензию и играл некоторое время с программным обеспечением. К концу дня (на самом деле ночь), я смог настроить машину Pentium 4 для действия как успешный брандмауэр и замена для двух отдельных маршрутизаторов.
Теперь я выполняю веб-сервер, который служит более чем двум IP-адресам WAN (с восходящим выравниванием нагрузки), и внутренний трафик перенаправляется к локальному IP сервера, не перемещаясь через Интернет.
Преимущество Astaro состоит в том, что у Вас есть детализированные средства управления каждого пакетного перемещения в Вашей сети. Вам, вероятно, придется попробовать его сначала.