服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 帮助将路由/防火墙/ VPN目的的服务器放在一起
Intereting Posts
iptables日志logging不工作? 如果我通过交换机连接了计算机,他们会直接通信吗? 最高命令 – 整体CPU使用率比进程的CPU使用率低 网站安全 – 如何过滤传入的stream量到特定的端口 SQL Server保持logging/写入“安装程序引导”文件夹 postfix邮件服务器smtpauthentication与slackware linux 13.1 增加/ opt在solaris 现场摊位,显然是由于mySQL的失速 不能连接mysql与PHP脚本 当RAID 10比RAID 1小时,为什么? squid:限制proxy_auth(userid)只能从selectec来源(src ip) Tomcat拒绝端口443上的连接 如何确定Server 2003软件在线是否有效? 如何禁用openldap用户的密码更改? 如何获得手动编译软件的手册页?

帮助将路由/防火墙/ VPN目的的服务器放在一起

我们目前正在把自己的服务器防火墙/路由器放在一起。 我们打算使用像Juniper或Watchguard这样的专用解决scheme,但是如果我们使用我们计划已经准备好的服务器机器,它将会更加经济高效。

关于我们:我们是一个将在防火墙/路由器服务器(一台networking服务器和一台数据库服务器)之后有两台服务器的网站。 所有三台服务器都将运行Windows Server 2008 R2 x64。

原谅我的图(我知道它甚至不接近于技术上的正确,但它希望使我们的拓扑更清晰一些)的粗俗

图

#1路由

我们正在使用RRAS来configuration我们的路由。 目前这个configuration是为了让我们的Web应用程序服务器上网(通过RRAS的NAT),但是我需要设置端口转发,以便对端口80的任何请求直接发送到Web App服务器。

#2防火墙

Windows高级防火墙是否可以接受我们要求的工作? (我想这个答案是肯定的。)

#3 VPN

build立一个VPN到目前为止是一个痛苦(证书是烦人的!)。 我看过的每一个教程似乎都有在他们的VPN机器上运行的DNS和DHCPangular色…这是为什么? 他们是必要的,还是我可以把他们?

总体

有关如何configuration此服务器以满足我们的需求的更多提示?

感谢您的任何build议。 对不起,如果这是一个非常严重的问题! (有一个赏金,至less:)

您可以将RRAS用于防火墙,NAT和VPN,因此,您可以为Windows Server 2008防火墙提供一个公用IP地址,并为所有内部networking路由stream量,并将特定端口(fe 80)转发到您的内部服务器,你也可以像VPN服务器(PPTP和/或L2TP)一样。 从Windows 2000开始,RRAS就已经存在了,而且它对于简单的设置来说工作起来相当不错。

不过,这不是一个完整的防火墙/代理解决scheme。 您无法定义细粒度的策略, 也不会执行任何Web代理(无论是直接还是反向),它不能在应用程序级别过滤stream量, 也不会loggingnetworkingstream量以供进一步分析。

简而言之:是的,RRAS可以做任何你需要的事情,简单而粗暴地; 但它不是一个完整的networking访问和安全解决scheme,如ISA或TMG。

大约一个小时前我刚刚设置了一些相似的东西。 Windows Server 2008 R2是一个完全可行的解决scheme,你在做什么。

我同意迄今为止有关在防火墙上使用ISA的意见。 Windows防火墙可以工作,但它是非常基本的,没有任何IDS或过滤。 如果可以的话,ISA是最好的select,否则Windows防火墙可以作为一个垫脚石。

对于您的VPN,不,DNS和DHCP不需要与RRAS位于同一台服务器上。 DNS可以在任何地方,而DHCP只需要在内部子网中。

对于您的内部IP,它们可以来自防火墙/路由器服务器,所以图中左上angular的行是绿线内的一条线。 使用VPN连接到将分配内部IP的防火墙/路由器/ VPN服务器。

对于数据库服务器,只要给它一个内部IP,它只能从内部访问。

在路由器服务器的内部网卡上,分配一个xxx1(即10.0.0.1)IP,并将其用作networking服务器和数据库服务器上的内部NIC的网关。 这会给你内部networking和路由。

而且,如果你安装了RD网关服务器,你也可以从networking外部向你的内部计算机发送RDP。

如果您将Server2008设置为防火墙,那么您可能需要考虑使用ISA。

说实话,为什么不从Linksys的中低端小型企业路由器。 我在这个确切的设置中使用RV042。 我有一个IP地址在80和443转发到Web服务器(使用NAT),路由器是VPN服务器以及使用Windows VPN客户端。 大约200美元,那么你的服务器实际上是从互联网上移除的,如果服务器的软件防火墙上的东西被意外closures,它将不会被暴露在互联网上。

我们在我们的Windows服务器上使用Kerio Winroute防火墙。 它根本不会做反向代理,但是对于其他所有function来说,它们都是非常好的支持。 我们已经通过各种版本使用了8/9年,目前它是非常好的。 它比ISA便宜,configuration也更容易。

至于反向代理,我们还没有需要,但是如果你需要的话,最好能找出你到底做了什么。 我们到目前为止已经解决了,因为我们有一个IP地址块,所以只需将其映射到不同的内部服务器。

让我知道,如果你需要任何帮助configuration它。

1)关于路由是的,它可以简单地路由到您的IIS与RRAS,您只需要设置适当的DNS Alogging,并在RRASpipe理单元中点击几下,你也需要设置IIS以赶上适当的标题和端口。
2)可以在没有防火墙的情况下工作,但当然会降低安全性。 有可能把简单的FreeBSD,Linux或其他任何基于边界的防火墙,或简单的硬件防火墙。
3)Windows 2008提供了很好的SSTP,除了PPTP和L2TP之外,还有VPN隧道,它不依赖于GRE协议并且无处不在。 但是你真的需要VPN隧道吗? Server 2008还提供了更强大的functionTS RemoteApp,因为它不提供对服务器networking的完全访问权限,而只能针对特定的应用程序。
你是否计划服务器来托pipe内部networking资源?

我有类似的问题。 这个论坛的一位绅士build议我使用Astaro安全网关 。

我抓住了他们的免费家庭许可证,并用软件玩了一段时间。 到一天结束的时候(实际上是晚上),我能够configuration一台Pentium 4机器作为一个成功的防火墙,并替代了两台独立的路由器。

现在我运行一个Web服务器,服务于两个WAN IP地址(具有上行链路负载平衡),内部stream量被redirect到服务器的本地IP地址,而不通过互联网。

Astaro的优势在于,您可以精确控制networking中的每个数据包移动。 您可能需要先尝试一下。

你没有说你在看什么平台,所以我要推荐m0n0wall 。

这是一个全面的FreeBSD重新包装,用作防火墙/路由器等。

编辑
根据Django的意见更新,我以为Win2k8服务器将被放在防火墙的后面,而不是安装防火墙

有了这种情况下,我最初的build议m0n0wall没有任何意义:)

如果你改变了主意,但是,它可能仍然:)