Справка, соединяющая сервер в целях Маршрутизации/грандмауэра/VPN
mikeage@linode ~$ aptitude -h | tail -n 1
This aptitude does not have Super Cow Powers.
mikeage@linode ~$ apt-get -h | tail -n 1
This APT has Super Cow Powers.
mikeage@linode ~$ aptitude moo
There are no Easter Eggs in this program.
mikeage@linode ~$ apt-get moo
(__)
(oo)
/------\/
/ | ||
* /\---/\
~~ ~~
...."Have you mooed today?"...
mikeage@linode ~$ aptitude -v moo
There really are no Easter Eggs in this program.
mikeage@linode ~$ aptitude -vv moo
Didn't I already tell you that there are no Easter Eggs in this program?
mikeage@linode ~$ aptitude -vvv moo
Stop it!
mikeage@linode ~$ aptitude -vvvv moo
Okay, okay, if I give you an Easter Egg, will you go away?
mikeage@linode ~$ aptitude -vvvvv moo
All right, you win.
/----\
-------/ \
/ \
/ |
-----------------/ --------\
----------------------------------------------
mikeage@linode ~$ aptitude -vvvvvv moo
What is it? It's an elephant being eaten by a snake, of course.
Можно использовать RRAS для брандмауэринга, NAT и VPN, таким образом, да, можно дать единственный общедоступный IP-адрес брандмауэру Windows Server 2008 и иметь его трафик маршрута для всей внутренней сети и передать определенные порты (f.e. 80) к Вашим внутренним серверам, и у Вас может также быть он действие как сервер VPN (PPTP и/или L2TP). RRAS был вокруг начиная с Windows 2000, и это делает свое задание вполне приятно для простых установок.
Это не полное решение для брандмауэра/прокси, хотя; Вы не можете определить мелкомодульные политики, это не делает никакого веб-проксирования (быть этим прямо или реверс), это не может отфильтровать трафик на прикладном уровне, и это не регистрирует сетевой трафик для дальнейшего анализа.
Короче говоря: да, RRAS может сделать что-либо, в чем Вы нуждаетесь, просто и несколько грубо; но это не полноценный доступ к сети и решение по обеспечению безопасности как ISA или TMG.
-
1+1 You' d хотят ISA/TMG на том сервере брандмауэра – Oskar Duveborn 26 November 2009 в 13:36
-
2ISA isn' t даже опция с Windows Server 2008 R2. – Django Reinhardt 26 November 2009 в 23:00
-
3Просто используйте 2003 затем :-) – Massimo 26 November 2009 в 23:16
Если Вы установлены при использовании поля Server2008 как Ваш брандмауэр, то можно хотеть рассмотреть использование ISA.
-
1Ahh... благодарит за это, я думаю, что это может быть тем, в чем мы нуждаемся. Не много онлайн-документации для него, хотя :-/ I' ll продолжают искать. – Django Reinhardt 5 November 2009 в 16:31
-
2Проверьте здесь на примерно что-либо, что необходимо знать о ISA. isaserver.org – DanBig 5 November 2009 в 16:36
-
3Очень плохой ответ, который заставил меня тратить впустую загаженную загрузку времени: Сервер ISA isn' t совместимый с Windows Server 2008 (x86 или x64). – Django Reinhardt 22 November 2009 в 15:41
-
4Почему don' t Вы хотите настроить поле 2003 года с ISA? It' s все еще полностью поддерживаемый и это работает отлично. – Massimo 23 November 2009 в 08:06
-
5Можно загрузить Центр деятельности TMG RC теперь. Почему бы не дать ему попытку? Вы не можете получать его бесплатно от Вашего BizSpark sub, но по крайней мере можно испытать его теперь и если это соответствует, думайте о покупке его. microsoft.com/DOWNLOADS/… – DanBig 23 November 2009 в 15:13
Быть честным, почему бы не пойти с серединой низкокачественного маршрутизатора Малого бизнеса от linksys. Я использую RV042 в той точной установке. У меня есть один IP-адрес, который передается веб-серверу (использующий NAT) на 80 и 443, и маршрутизатор является сервером VPN также просто использование клиента VPN Windows. Это - приблизительно 200$ затем, Ваш сервер на самом деле физически удален из Интернета, должен что-то на программном брандмауэре сервера быть случайно выключенным, это не будет находиться выставленное в Интернете.
-
1Да, мы действительно рассматривали это, но we' ре, также собирающееся использовать сервер брандмауэра/маршрутизатора для получения аналитики, таким образом, это имеет дополнительную цель кроме брандмауэринга. – Django Reinhardt 5 November 2009 в 16:30
Мы используем Брандмауэр Kerio Winroute на наших серверах окон. Это не делает обратного прокси вообще, но что касается всего остального, что это вполне прилично поддерживается с функциями. Мы использовали его в течение 8/9 лет через различные версии, и в настоящее время это очень хорошо. Это также более дешево, чем ISA и намного легче настроить.
Что касается обратного прокси, мы имеем не нужный, что все же, но был бы интересно узнавать то, что Вы делаете в конце, если Вы должны. Мы до сих пор обошли его, поскольку у нас есть блок IP-адресов, поэтому просто отображают IP-адреса к различным внутренним серверам.
Сообщите мне, нуждаетесь ли Вы в какой-либо помощи с конфигурированием его вообще.
-
1Это было очень полезно 8-9 лет назад, когда Windows NT couldn' t делают что-либо как этот. Но возможности маршрутизации/NAT были встроены в Windows RRAS с 2000, делая продукты как Уингейт и WinRoute довольно бесполезными. – Massimo 23 November 2009 в 11:12
-
2Верный этому действительно встраивали эти функции, дополнительные функции, что предложения Winroute делают это намного лучшим продуктом. И как какая-либо система безопасности Вы полагались бы на встроенное программное обеспечение Microsoft? Для одной только простоты Winroute стоит денег. И клиенты VPN являются большими, чтобы бездисплейные серверы соединились с Вами при необходимости. – Simon Dick 3 December 2009 в 15:00
Вы не сказали, на какую платформу Вы смотрите, таким образом, я иду в recommened m0n0wall.
Это - комплексная переупаковка FreeBSD для использования в качестве брандмауэра/маршрутизатора/и т.д.
Править
обновляя на основе комментариев от Django, я думал, что серверы Win2k8 должны были быть ПОЗАДИ брандмауэра, не, на который можно УСТАНОВИТЬ брандмауэр
С при этом, моя первоначальная рекомендация m0n0wall не имеет никакого смысла :)
Если Вы передумали, тем не менее, это может все еще :)
-
1Вы уверенный я didn' t упоминают что платформа we' ре, использующее...?:^) – Django Reinhardt 5 November 2009 в 14:39
-
2
-
3Я думал, что Вы подразумевали, что это было платформой ПОЗАДИ брандмауэр, не тот, на котором Вы хотите к УСТАНОВКА брандмауэр :) – warren 5 November 2009 в 15:05
-
4
-
5Или они могли действительно волосы гадить он, и идти с OpenBSD с PF и получать обработку отказа с сохранением информации, и т.д. :-D Однажды Ваш разделили диск при установке OpenBSD, никто не может сомневаться фаната cred. Особенно, если Вы мультизагружаетесь и позволяете OpenBSD получить доступ к другим файловым системам OSs. – Ronald Pottol 26 November 2009 в 00:19
Я просто настроил что-то довольно подобное приблизительно час назад. Windows Server 2008 R2 является полностью эффективным решением для того, что Вы делаете.
Я соглашаюсь с комментариями до сих пор об использовании ISA для брандмауэра. Брандмауэр Windows мог работать, но это является довольно основным и не имеет никакого IDS или фильтрации. ISA является способом пойти, если Вы можете, в других отношениях Windows Firewall быть в порядке как стартовая площадка.
Для Вашей VPN, нет, DNS и DHCP не должны быть на том же сервере как RRAS. DNS может быть где угодно, и DHCP просто должен быть во внутренней подсети.
Для Вашего внутреннего дюйм/с они могут произойти на сервере брандмауэра/маршрутизатора, таким образом, верхняя левая строка в Вашей схеме является действительно строкой в зеленой строке. Используйте VPN для соединения с firewall/router/vpn сервером, который присвоит внутренний IP.
Для сервера базы данных просто дайте ему внутренний IP, и это только будет доступно с внутренней части.
На внутреннем NIC сервера маршрутизатора присвойте x.x.x.1 (т.е. 10.0.0.1) IP и использование что как Ваш шлюз для Вашего внутреннего NIC на веб-сервере и для Вашего сервера базы данных. Это даст Вам внутреннюю сеть и маршрутизацию.
Кроме того, при установке Сервера Шлюза RD Вы можете RDP к своему внутреннему компьютеру снаружи сети также.
1) О маршрутизации Да все это может быть просто направлено к Вашему IIS с RRAS, только необходимо настроить надлежащий DNS записи и сделать несколько щелчков в снимке RRAS - в, и также необходимо установить IIS для наверстывания надлежащих заголовков и портов.
2) Возможно работать без брандмауэра, но конечно это уменьшит безопасность. Возможно поместить простой FreeBSD, Linux, или что-либо еще основывало граничный брандмауэр или простой аппаратный брандмауэр.
3) Windows 2008 предлагает большой SSTP, помимо PPTP и L2TP, туннелей VPN, который не зависит от протокола GRE и работы везде. Но Вам действительно нужны туннели VPN? 2008 сервера также предлагает замечательную особенность TS RemoteApp, которая является более надежно, потому что не предлагает полного доступа к сети сервера, но только к конкретному приложению.
Вы планируете сервер для хостинга внутренних веб-обращений за помощью также?
У меня была подобная ваша проблема. Джентльмен на этом форуме рекомендовал мне использовать Шлюз безопасности Astaro.
Я захватил их бесплатную домашнюю лицензию и играл некоторое время с программным обеспечением. К концу дня (на самом деле ночь), я смог настроить машину Pentium 4 для действия как успешный брандмауэр и замена для двух отдельных маршрутизаторов.
Теперь я выполняю веб-сервер, который служит более чем двум IP-адресам WAN (с восходящим выравниванием нагрузки), и внутренний трафик перенаправляется к локальному IP сервера, не перемещаясь через Интернет.
Преимущество Astaro состоит в том, что у Вас есть детализированные средства управления каждого пакетного перемещения в Вашей сети. Вам, вероятно, придется попробовать его сначала.
-
1Штопка.. победите меня к нему! @Django - Astaro является намного лучшим решением, чем использование Windows Server как брандмауэр. Для стоимости Windows Server можно получить лицензию и поддержку, которая превосходна. – tomjedrz 28 November 2009 в 08:01