Hvilken Cisco Pix ??

Hej

Du vil jo nok have at webserveren står i et DMZ - 506'eren har kun 2 interfaces, og kan derfor ikke bruges. Jeg ville nok tage 515, den har op til 6 interfaces mener jeg, er dog ikke sikker. Jeg har lige købt en med 3, hvor jeg bruger DMZ'en til min VPN concentrator.

515 er nok lige lidt for stor til behovet.
Hvordan er logningen i en 515 ? følger det med eller er det et ekstra modul ?
Jeg er lidt i vildrede for en 501 synes ikke af meget og en 515 er for stor, en 506 har kun 2 interfaces. Mon ikke en 501 kan klare den løsning ?

i 515 kan du sende logningen til en syslogserver, tror jeg det hedder - har ikke rodet så meget med det - du skal have en lille app. på en server, som modtager og præsenterer loggen.

Så du vil have en 506 på webserveren, og en 501 ind til netværket? Det kan du vel i princippet godt... det koster vel en ekstra offentlig ip. Jeg kender ikke lige prisen på en 506, så jeg ved ikke hvordan regnestykket ser ud...

Man kan jo også sige at hvis du sætter det på 2 firewalls, så er systemerne i hvertfald helt adskilt, og så er du jo sikker på at du ikke har nogle genveje via DMZ'en

Jeg tænkte nu mere på at lade 501 styre det hele, den har jo en 4 ports switch og NAT/PAT så den burde kunne route 80/443 til webserveren og lade ISA kommunikere på en af de resterende 3 porte.
Det bliver nok for dyrt med både en 506 (ca. 12.500 kroner) og en 501 (ca. 5.500 kroner) ekstra IP adresser kommer så oven i igen + en router til at styre dem, jeg går ikke ud fra at 506 eller 501 kan håndtere flere offentlige IP adresser.

Går du så ikke meget på kompromis med sikkerheden, hvis du lader alle dine besøgende på webserveren komme ind og snuse til dit netværk? Det ville jeg ikke turde.... Så hellere have en pix på dit netværk, og lade serveren stå ubeskyttet.

Jeg havde nu tænkt mig at gøre det sådan: Internet -> PIX 501 -> Web server -> ISA firewall -> Internt netværk.  Webserveren og ISA serveren har hver sit port på 501´ eren, og router ikke gennem webserveren.
Men det falder nok enten på 515 eller en tilsvarende (billigere) fra en anden leverandør.

tak,

Prøv at kigge på snapgear - jeg har ikke selv prøvet dem, men har hørt at det skulle være ok til en MEGET fair pris