我是pipe理路由器/防火墙的新手,现在需要在小型企业中pipe理ASA 5510。 我以前只是从我们的networking提供商那里要求设置,因此我对基本概念很熟悉,但是没有设置防火墙的真实经验。 你会推荐哪些书籍/教程来pipe理路由器? 有没有人看过哈里斯·安德烈的电子书?
一个相对新手的networkingconfiguration问题 我们有一个现有的局域网设置,一个硬件防火墙(D-Link DIR-655)和一个微软小型企业服务器(可以做DHCP)。 我们已经被ISP分配了多个公网IP,但D-Link只能有一个静态IP AFAIK。 我正在寻找使用我们的额外的IP通过指向他们几个不同的Web服务器内部。 我提出的networkingdevise,就是创build一个SmoothWall虚拟机(VirtualBox)。 然后我会把虚拟机放在DMZ中。 这样,SmoothWall可以将传入的请求传递给其他公有IP,并将端口80转发到我们networking中正确的(虚拟)机器上。 这是build立networking的正确方法吗? 注意:我试图通过第一个公共IP地址来运行我们的主要业务Exchange服务器和其他服务,以避免取下现有的局域网。 我也没有一个备有2个网卡的备用硬件机器,用于SmoothWall安装,但如果有显着的优势,那么我们可以考虑获得一个。
假设您负责运行一组关键任务Web服务,目标时间为99.5% 为了达到这个目的,在两个完全独立的数据中心,有不同的带宽提供商,有两个相同的硬件集群。 在每个机架的顶部,需要有一些机架顶部的硬件(交换和防火墙设备)。 您的软件设置是这样的,在人为干预的情况下,如果其中一个群集处于脱机状态,则将所有服务从一个数据中心重新路由到另一个数据中心是非常容易的。 说这将需要大约15分钟。 现在的问题是:每个数据中心你会花费8k额外的机架设备(交换机和防火墙热故障)吗? 通过参考,每个设备的机架中有大约50k的服务器。 冗余设置要复杂得多,有更多的故障模式,并且保证在初始购买价格方面以及在花费更多复杂设置的维护和故障排除时间方面都要付出代价。 而且,我们已经运行了8年多的(冗余)设置,并且从来没有(敲过木头)机架设备的顶端发生故障。 我们用3年的服务周期来replace所有的东西。 单点故障模型的缺点是,如果我们丢失交换机或防火墙,整个数据中心将会停止运行。 此外,人必须投掷一个开关将失败的服务路由到另一个数据中心(由于各种原因,没有可靠的方法来自动执行此操作) 我怀疑,因为它使用更less的硬件和更简单的单点故障选项将导致在现实世界更长的时间。 我的经验是,硬件故障发生的频率远远低于人们的故障,交换机/防火墙(没有旋转磁盘驱动器和安全操作系统等)很less失败。 服务器故障社区认为什么?
我有一个安装了KVM虚拟化的Ubuntu 9.10服务器(我将其称为HOST)。 它有三个虚拟机在运行,其中一个安装了Apache(称为APACHE),一个安装了Mysql(称为MYSQL),一个安装在端口8080(JETTY)上的Jetty。 主机具有configuration为提供对VM的访问的网桥。 我想在主机上运行防火墙,但不在每个虚拟机上运行。 防火墙应阻止主机和虚拟机上不必要的所有端口。 具体如何configuration它: 主机应该只能通过SSH连接到它的networking块。 HOST不应该有任何其他的端口比SSH打开。 APAHCE,MYSQL应该可以通过SSH连接到任何地方。 MYSQL应该只能通过netblock内的端口3306连接。 JETTY应该可以通过端口8080连接(它以用户身份运行,所以不能在80上运行),但是到端口80的stream量也应该在防火墙中转发到8080,所以它可以显示为定期的http服务器。 我刚刚切换到Ubuntu,所以我不知道最好的防火墙工具是什么。 我曾经在CentOS上使用过iptables,但是iptables并没有在我的主机系统上运行。 我已经看到UWF作为Ubuntu的防火墙工具的参考? 它看起来像UWF安装,但不活跃。 任何build议如何让这个去? 我应该编辑哪些文件? 有没有什么好的HOWTO这样做,我只是没有find?
在负载平衡的环境中,是否有必要在DMZ中拥有所有的Web服务器? 或者只是让DMZ中的负载均衡器达到所需的安全性? 如果重要,Web服务器和应用程序服务器是相同的 – GF,Tomcat在同一台服务器,OAS等httpd前面… LB – > WEB / APPLICATION – > DB 另外,如果是这样的话,安装程序会不一样 LB – > Web服务器 – >应用程序服务器 – >数据库 谢谢,布拉德福德
我们有一个虚拟机,在我们的networking中托pipe一个基于web的bug跟踪器,通过例如192.168.1.5:9800在内部到达。 从外面我们在我们的防火墙上做了一个端口转发,这样就可以通过例如72.10.10.10:9800到达网站。 现在工作正常,但问题是,我们得到不同的IP地址,以达到相同的服务,这取决于如果我们在办公室或在家里,当服务发送电子邮件的链接并不总是工作:) 所以我们正在寻找解决scheme来解决它。 一个可能是在防火墙规则,所有通信到72.10.10.10:9800被转发到192.168.1.5:9800 …如果这是可能的,这是考虑它是一个IP地址+端口。 我们使用端口的原因是因为我们只有一个静态公共IP地址,但是有多个虚拟networking设备。 感谢您的任何build议或解决scheme:) 帕特里克 PS:顺便说一下,networking是Win 2008 R2的域名,我们的防火墙是SonicWall 2040 PRO http://www.sonicwall.com/us/products/PRO_2040.html
是否有可能设置复制的Oracle数据库,防火墙之外的服务器? 如果是的话,关于如何设置的任何build议将是伟大的。
鉴于旧版本的IE中的漏洞,我想强制执行一条规则,即只有最新的IE或Firefox被用来浏览网页。 我无法确保每个人的PC都是最新的,那么是否有一个防火墙可以让我编写一个规则来限制可以通过防火墙发出请求的浏览器版本? 我们目前的防火墙来自Watchguard
无论login谁,我在启动防火墙高级设置时在mmc控制台中出现以下错误 打开具有高级安全性的Windows防火墙pipe理单元时出错 您没有使用高级安全控制台打开Windows防火墙的正确权限,您必须是Administrators组或Network Operators组的成员才能执行此任务。 有关更多信息,请联系您的系统pipe理员。 错误代码:0x5。 我试图processmonitor来确定什么权限被拒绝,但没有运气。 如果我直接运行netsh,我也会拒绝访问。 这是运行Windows Server 2008 SP2。 是的,我正在以pipe理员身份运行。 有任何想法吗?
设置 家里有两台机器,住在一个住宅电缆调制解调器和路由器: gaia :Kubuntu 10.04,192.168.0.103 像素 :Ubuntu 10.04,192.168.0.104 路由器 :DLink DI-52,1.1.1.1(不是它的真实IP)。 路由器configuration为将端口23和10002转发到像素22,并将端口22和10001转发到gaia:22。 两个不同networking的外部主机处于不同的状态: zeus :得克萨斯州的CentOS,IP 2.2.2.2(不是真正的IP) argo :加州的Kubuntu 10.04,IP 3.3.3.3(不是真正的IP) 问题 如果我从宙斯 SSH到路由器 :22,:23,:10001,或:10002,它连接罚款(分别为gaia,像素,gaia和像素)。 如果我从argo SSH到路由器 :23或:10002,它连接到像素罚款。 如果我从argo到路由器的 SSH:22或:10001,它不连接到gaia ; SYN数据包永远不会回复(我用gaia上的Wireshark观察这个数据来validationgaia不会发送任何东西回argo )。 还testing了与argo相同的networking上的其他主机; 他们都没有得到任何进一步的。 SSH转储(-vvv)如下所示: @@ 08:29:04 Sat Sep 18 [user@argo – ~]$ ssh 1.1.1.1 -vvv OpenSSH_5.3p1 Debian-3ubuntu4, OpenSSL 0.9.8k 25 Mar 2009 debug1: Reading […]