Utilizzare un firewall comune per due sottoreti differenti

Naviga le tue risposte
2

Voglio implementare uno schema di sicurezza in una nuova configurazione di rete. Ci sono due edifici per il cliente:

  • Edificio per uffici 1 (OB1) con indirizzo 10.0.0.0 / 255.255.255.0, Gateway 10.0.0.1 ( Router1 Zyxel). In OB1, è installato anche il controller di dominio (10.0.0.250) in cui gli utenti di OB1 hanno già unito a.

  • Edificio per uffici 2 (OB2) con indirizzo 10.0.1.0 / 255.255.255.0, Gateway 10.0.1.167 (installato come indirizzo interno (lan) di a Firewall) Il dispositivo firewall wan1 ha indirizzo 192.168.5.199 e utilizza 192.168.5.2 come Indirizzo Router2 (Zyxel).

Router1 fornisce l'accesso a Internet per gli utenti di OB1 e Router2 fornisce l'accesso a Internet per gli utenti di OB2 . In OB2 il firewall è configurato per la protezione e il filtro web per la rete 10.0.1.0 . Entrambi gli edifici sono collegati tramite VPN implementati tra Router1 e Router2 .

Vorrei sapere:

  1. come configurare la protezione firewall di OB1 (rete 10.0.0.0) utilizzando il dispositivo firewall in OB2 (magari con qualche riconfigurazione della rete)
  2. come configurare gli utenti in OB2 (rete 10.0.1.0) per unire il dominio implementato in Domain Controller che fa parte della rete 10.0.0.0 in OB1
posta johnf23 11.08.2011 - 11:17
fonte

3 risposte

1

Potrei trovarci qui, ma se un edificio ha il controller di dominio e l'altro ha il firewall, perché non basta impostare il traffico dell'OB1 per instradare attraverso la VPN al gateway (10.0.1.167). Non ci sono informazioni sufficienti per darti davvero una guida. Domande che ho, come è implementata la tua VPN? Sei disposto a colpire la tua larghezza di banda se instradi tutto il tuo traffico attraverso una VPN solo così può passare attraverso un filtro web? Cosa succede se uno degli edifici va offline, come influenzerà l'altro? In breve, sembra fattibile, ma quella sarà la soluzione migliore a lungo termine?

    
risposta data 11.08.2011 - 23:45
fonte
0

ciò che ho capito dalla tua domanda è questo.

OB1 ---------------------- > Xyxel router 1
OB2 ------ > firewall -------- > Router Xyxel 2

Router1 e Router2 dispongono di una VPN per l'interconnettività. Ogni router ha una connessione Internet separata.

Ora con queste informazioni, è necessario tenere conto di determinate cose.
1. Il tuo dispositivo firewall supporta più connessioni Internet
2. In caso contrario, una singola connessione può essere sufficiente per entrambi gli uffici. Quindi per quanto riguarda il single point of failure (connessione ISP) anche se potrebbero esserci altri singoli punti di errore.

Suggerirei questo: 1. La connessione VPN tra office1 e office2 deve essere modificata in firewall e Router 1 dal router al router.
2. La connessione Internet in ufficio1 deve essere disabilitata.
3. route predefinite aggiunte sul router 1 per inoltrare i dati attraverso il firewall. 4. aggiungi le regole del firewall per consentire porte come UDP 53, 88, 135. TCP 389, 53, 135, 138, 139, 445, 3268, 3269, 464 tra queste sottoreti

Un altro modo per configurarlo sarebbe
1. porta il router xyxel 2 dietro al dispositivo firewall invece del firewall corrente dietro il router.
2. Disabilitare Internet su Router1 e aggiungere una route predefinita per inoltrare i pacchetti al router 2, che inoltrerà i dati Internet associati tramite firewall a Internet e non richiederebbe un'interfaccia aggiuntiva su di esso.

Tutto dipende dal tipo di hardware che hai a disposizione.

    
risposta data 11.08.2011 - 23:45
fonte
0

La semplice risposta a questo è solo no.

Dovresti indirizzare tutto il traffico attraverso un singolo firewall in un singolo punto fisico.

Una cosa che potresti fare è:

OB1 > --- (10.0.0.0) --- ISP - > VPN > - (gateway per Internet su 10.0.1.0/24(FW)>---OB2>---(10.0 .1.0) - > FW > - > 0.0.0.0/0

Ma perderesti metà della larghezza di banda di Internet.

    
risposta data 27.01.2012 - 05:54
fonte

Leggi altre domande sui tag

In che modo le opzioni della privacy di IE influiscono sulla capacità di javascript di salvare i cookie? RECon 2012 e prima