如何升级apache httd和openssh到endian防火墙的最新版本(Endian防火墙社区是一个“交钥匙”的Linux安全分布)? 谁能帮我?
因此,在SSL / https的世界中,您可以将新的静态公共IP地址绑定到防火墙Internet接口,然后使用一个SSL服务(如https://站点 ,Outlook Anywhere或类似RDP over RCP over HTTPS)公共IP地址 – 如使用多个IP地址使用主机标头/别名通常不可能… 但是,在我的这个实验室里,我只能获得dynamic的公共IP地址。 启用多个SSL服务是有点问题,但我一定会尝试^^ 我看到两个可能性(如果有的话): 以某种方式获得防火墙接口(现在运行Windows 2003和ISA 2006)使用DHCP请求并绑定多个公共IP地址。 某种欺骗与桥接,MAC欺骗或获得分配给同一个逻辑防火墙接口的多个地址? 只是添加另一个网卡是不幸的,因为ISA不会有多个外部逻辑接口(但它可以有任何数目的(通常是静态的)IP地址)。 与ISA(具有通配符证书)使用一些巧妙的技巧将不同主机名的传入SSL请求拼接到不同的内部SSL服务。 我记得这是一个新的互联网function,没有得到广泛的支持,使用SSLstream量的主机头检查。 但是,ISA应该能够在本地终止任何SSL连接,然后将它们连接到内部服务 – 即使使用旧学校标准,它也不应该能够检查主机标头并做一些有用的事情吗? 到目前为止,我没有想到一个好的解决scheme,除了试图说服ISP出售一些静态租约,或者放弃并为每个SSL服务设置另一个单独的ISA之外,还有一个好的解决scheme。 在生产站点,这不是问题,只需根据需要将外部防火墙接口的数量添加到外部防火墙接口。 我全心全意的想法 – 也许我只是忽略了一些非常明显的东西^^
我认为这是一个相当先进的问题,我希望有经验的人能帮助我。 深呼吸,我们走吧: 我们是一个规模不大但正在增长的网站,希望添加另一个服务器,以便我们有两个:一个Web应用程序服务器和一个数据库服务器。 我们也在寻找一个硬件防火墙。 所有标准的东西。 我们的服务器由托pipe公司(natch)托pipe在他们的一个设施中。 我们不拥有自己的盒子,而只是从一家公司租用一个机架。 当我们得到我们的防火墙和额外的服务器,我们将租用更多的货架。 很简单,我猜。 现在变得更复杂了:我们需要直接访问这两个服务器(即远程桌面访问,SQL服务器访问,FTP访问等)。 我们有我们的单一IP地址的网站,虽然我们的连接是通过路由器才到达我们的服务器,我们没有访问它。 如果我尝试导航到我们的默认网关,我什么也得不到。 将防火墙添加到我们当前的configuration最好的方法是什么? 我们希望能够在eBay上以低廉的价格获得类似于Firebox X1000的东西,并请求:www.ourdomain.com并将其转发给服务器A(例如192.168.0.10),并请求server.ourdomain.com和转发给服务器B(例如192.168.0.11)。 这有意义吗? 我们是否以错误的方式去做? 这样的企业级防火墙是否存在? (asidE:2000个并发会话大概是我们迄今为止在网站上看到的最大值,但是显然,增长会是一件好事。) 感谢任何帮助,我完全困惑,Watchguard和Juniper的人们虽然非常有帮助,却似乎无法放下心思。 更新:感谢Zoredache和Jesper Mortensen以最直接最有用的方式回答我的问题。 我现在对整个过程有了更多的了解(显然,防火墙没有简单的方法来做我想做的事 – 而且我原来的要求现在没有什么意义了,现在我对层更加了解 – doh)。 最终,我们决定使用第三台服务器作为防火墙,而不是专用的硬件防火墙。 其原因主要是因为它会为我们制造出更多的便宜,而且完成同样的工作。 我们已经计划有第三台服务器来收集我们自己的分析,我们希望这是一个非常轻的工作(他们在客户端触发,然后loginSQL),所以我们有理由将其移动到也是我们configuration的“前沿”,并将其用作防火墙。 我们也可能会configuration一个VPN,所以我们可以用这种方式pipe理Web App服务器和数据库服务器,而不是直接连接到它们。 这意味着我们不需要购买防火墙或租用额外的机架单元。 build议和我们的解决scheme之间的唯一区别是我们将使用Windows Server 2008,因为a)我的知识和b)我们通过BizSpark包免费获得。 再次感谢! PS – 任何人都有这个新的防火墙/ VPN /(轻量级)SQL服务器的规格提示? (一个快速的处理器和大量的内存似乎对我有意义…但我知道什么?:)
我试图定义每个接口规则,就像在Server 2003中一样。 我们将用新的2008 R2服务器replace旧的2003服务器。 服务器运行IIS和SQL Server。 这是托pipe公司的专用服务器。 我们使用办公室的OpenVPN连接访问SQL服务器,RDesktop,FTP和其他pipe理服务。 只有http和ssh正在监听公共接口。 在运行2003的旧服务器上,我能够为http和ssh定义全局规则,并且只允许在vpn接口上使用其他服务。 我无法在2008 R2上find同样的方法。 我知道有networking位置感知服务,根据当前networking位置应用防火墙规则。 但我不明白这个在服务器上的目的。 我发现唯一的解决scheme是将范围设置为防火墙规则,并将远程IP地址限制在办公室的私有子网中。 但港口仍将在公共界面上收听。 那么我怎么能限制一个防火墙规则的连接来自vpn接口? 在这个页面上的一个说明指出,规则作用于一个接口不再存在: 在Windows的早期版本中,这些命令中的很多都接受了一个名为interface的参数。 在Windows Vista或更高版本的Windows的防火墙上下文中不支持此参数。 我不能相信他们只是决定删除每个防火墙的核心防火墙function。 必须有一种方法来限制规则到接口。 有任何想法吗 ? 我仍然无法find解决我的问题的适当方法。 所以现在,我的解决方法是这样的: pipe理服务监听VPN IP地址 防火墙规则将范围限制为VPN的本地IP地址 公共服务在所有接口上侦听,对防火墙规则没有范围限制 这不是最佳的,如果我改变VPN的IP地址,我也需要编辑防火墙规则。 如果规则被绑定到接口上,情况就不会如此。
我希望有人能向我解释RRAS , ISA Server和Forefront威胁pipe理网关之间的区别。 据我可以告诉他们所有的事情都完全一样吗? RRAS允许Windows Server 2008上的路由和VPN。 ISA Server 2006 (尽pipe与Windows Server 2008不兼容)和Forefront TMG 2010提供了路由,VPN 和防火墙… 但是看到Windows Server 2008带有自己的防火墙,为什么有人需要使用ISA或TMG? 这只是为了方便/更容易pipe理? 我非常恼火地发现ISA Server与Windows Server 2008不兼容(并且TMG不包括在任何MS订阅中),但是后来我发现了RRAS,这使得它们都显得毫无意义。 这是真的吗? 感谢任何帮助理解这一点。
我最近修改了我的路由器的防火墙规则。 我删除了所有内容,并为我需要打开的端口添加了最小权限。 但是,我发现Blogger不再能够发布到我的系统的FTP服务器。 我可以通过设置我的路由器来解决这个问题,在我的FTP端口上同时允许TCP和UDP,我之前已经把它设置为只允许TCP。 现在我担心其他的东西(比如HTTP / SVN / MySQL等)可能会被错误地阻止,因为我有其他的设置块UDP,或者更准确的说,只允许通过指定端口的TCP通信。 我怎样才能找出各种networking服务使用哪种协议? 例如,如果我将路由器设置为允许在端口3690上使用Subversionstream量,我应该允许TCP,UDP还是BOTH? Telnet,POP3,HTTPS等等呢? 谢谢。
我正在尝试获取networking上的计算机访问的所有网站(ips)的列表。 有没有办法让Windows防火墙向我返回networking(域)上特定IP地址的所有网站的报告? 谢谢 ps:我正在使用Windows Server 2008
它是位于前端服务器之前的防火墙还是路由器,基本上可以让您添加/删除服务器,而不必等到DNS传播,因为您拥有自己的内部IP的小型networking? 这是否也为您提供将stream量路由到其他ISP的潜在灵活性? 例如说你有2个前端服务器,1分贝。 在另一个ISP上有另外一个相同的设置用于故障切换。 (你每x分钟同步数据)。 如果ISP#1的数据库服务器出现故障,您可以将stream量路由到运行的ISP#2吗?
我们正在安装一个新的互联网连接,需要拔掉旧的连接,并将其连接到我们的ISA Server 2000。 这是一个简单的交换工作吗? 我们将得到一个新的IP,我知道我将不得不进入外部网卡TCP / IP页面。 我也将被给予默认网关进入。 ISP工程师说,我们可能不得不重置ARP? caching,如果我们不知道我们将不得不重置ISA服务器? 有没有人有任何经验? 目前的连接是用同一个ISP,但它是由我们所在的商业园所拥有的,他们把一个以太网端口连接到我认为是他们自己的路由器。 希望你能帮助,我知道ISA 2000比较新的版本不太容易使用。
我们有连接到一个小型企业服务器作为活动目录/ isa防火墙/代理(无DHCP)的XP工作站。 是否有一个原因,在networking(相同的子网等)上安装第二个防火墙后,更改工作站上的默认网关不足以将inetstream量路由到新的防火墙? 一个新设置的linux系统直接连接到备用防火墙,只需要ip,默认网关。 DNS设置。 ISA上还有没有活动的networking混淆过程? 是否有进一步的configuration设置更深层次的Windows需要注意? 任何想法指针,将不胜感激? 其他信息:防火墙试用:Smoothwall和Ipcop; 小型以太网netwoork 40个; 可以从工作站ping新的firwalls; 在新的防火墙上激活Web代理并重新configuration工作站浏览器工作正常; >第二个防火墙的缺点是在一个Linux应用程序的ISA上缺less一些必要的function; 虽然有一些冗余,将是很好的