Firewall

Du bør overveje at putte ialt 3 netkort i og så kikke på DMZ.

Du kan læse en hel del om opsætning af firewall på http://www.sslug.dk/linuxbog i den af bøgerne der handler om sikkerhed på nettet.

Jeg vil også anbefale dig at møde op til et af sslug's installpartyes, hvor du på forhånd har meldt din ankomst, og få din firewallmaskine kimmet igennem af en af sslugs eksperten. Det vil givet kunne lærer dig et par gode trix

hvorfor 3 netkort??

Et kort til dit eget net
Et kort til internettet
Et kort til DMZ

det vil sige at der skal sidde to kort i hver server også?

endelig ikke, da du så kortslutter din sikkerhed.

bz anbefaler, at hvis du skal have servere på, så skal de sidde på dmz i stedet for lan.

Nej. DMZ er til de såkaldet usikker tjenester, f.eks. ftp, web og mail. Disse servere sider på DMZ segmentet (en switch forbundet til dmz netkortet og serverne forbundet til denne switch.

Tricket er at det ofte er huller i disse usikre tjenester hackere bruger til at komme ind, hved at placere dem i DMZ sikre du dit interne netværk. Kommunikation til de usikre tjenester sker gennem firewallen, både udefra og indefra

Nu er jeg ikke helt med, jeg har fire servere som skal ligge bag min firewall, er meningen så at der skal være bare et netkort i serveren? eller?

Du skal sætte 3 netkort i firewall maskinen og et enkelt netkort i hver server/workstation osv.

Alle dine (4) servere sættes op på DMZ-benet (altså det 3 netkort i firewall).

Lad os antage at du har følgende servere. 1 domænecontroller, en web, en mail og en ftp server.

Din domænecontroller og alle dine arbejdsstationer er forbundet til den switch der sidder på dit interne netkort i firewallen.

Din ftp, web og mail sidder på den switch der er forbundet til dit DMZ netkort i firewallen
Det sidste netkort i firewallen er forbundet til din router og derfra internettet.

Alle servere har kun et etkort, firewallen har tre. De har en switch på dmz og en switch på det interne netkort

Vi går ud fra, at du udover dine 4 servere også har nogle "arbejdspladser" som skal sidde på lan

Endelig ikke domænecontroller og filserver på dmz, det er jo bl.a. dem du skal beskytte

bufferzone>> vi svarer det samme - du fortsætter bare :-)

Jeg har ingen "arbejdspladser" det er kun servere der skal stå der... Det er en web, mail, ftp og mysql som skal stå bag firewallen.

Lab>læs igen. Du vil have 4 servere på dmz, jeg vil kun have 4.

Sook> det kunne se ud som om du ikke har brug for dmz. Hvis jeg forstår din opsætning er den "lavet" til Internet brug (under forudsætning af at din MYSQL server ikke indeholder databaser der ikke må kunne tilgås fra internettet)

lab>undskyld, jeg vil kun have 3 på dmz ;-)

bufferzone>> ikke forstået, men uden arbejdspladser forsvinder dmz (måske)

Det vil sige jeg ikke skal sætte mysql serveren bag firewall?

Som jeg forståe din opsætning, har du kun brug for to netkort i din firewall. 'Et til internettet og et til dine servere. Da jeg ikke kan se at du har data der ikke skal kunne tilgåes udefra.

DMZ er til at beskytte data der kun skal kunne tilgås indefra og du har jo ingen filserver, indterne database servere osv osv.

Den lette løsning alle servere bag firewallen, du skal så bare være opmærksom på at de servere du har gør det vandskelig at beskytte, Det ligger jo i en webserver at den skal kune tilgås, hvormed den vil være "lidt" åben

ja men det er for at gøre serverne så sikre som muligt, sådan jeg kun skal åbne for f.eks. kun skal åbne for port 80 på web serveren.

Principielt kunne du installere en iptables firewall direkte på hver enkelt maskine hvor du styrer afgangen imellem maskinerne på mac-adresser/porte.

Lap har ret, jeg vil dog ikke anbefale det, dels er der en sikkerhedsmæssig pointe i at have forskelligt styresystem på firewallen og på serverne bagved. At komme gennem en linux firewall, kræver viden om linux, en person der har dette ved typisk ikke så meget om windows og omvendt.
Der er også en sikkerhedsmæssig pointe i at firewallen er adskildt fra serveren. For det første bruger den så ikke ressourcer på serveren og for det andet skal en hacker først gennem firewalen før han fysisk kan tage fat i serveren. Med firewallen på serveren har han allerede fat i serveren når han går i gang med firewallen.
Hvis du har linux servere kan du kombinere og dermed stýre adgangen meget fint, både firewall foran ogIPtables filtrering på serverne

Okay det lyder som en meget fin ide :)

Mange tak for hjælpen begge to :)

Velbekommen og vend bare tilbage hvis du har flere spørgsmål

Skal jeg gøre :)