Ajuda a montar um servidor para propósitos de Roteamento / Firewall / VPN

5

Atualmente, estamos no processo de montar nosso próprio firewall / roteador de servidor. Nós estaríamos indo usar uma solução dedicada de alguém como a Juniper ou a Watchguard, mas será muito mais econômico se usarmos uma máquina servidor que já estávamos planejando usar.

Sobre nós: Somos um site que terá dois servidores atrás do Firewall / Router Server (um servidor da Web e um servidor de banco de dados). Todos os três servidores estarão executando o Windows Server 2008 R2 x64.

Desculpe a crueza do meu diagrama (eu sei que não é nem perto de ser tecnicamente correto, mas esperamos que torne nossa topologia um pouco mais clara) ...

# 1 ROTEAMENTO

Estamos usando o RRAS para configurar nosso roteamento. No momento, isso é configurado para fornecer acesso à Internet do servidor Web App (por meio do NAT RRAS), mas eu preciso configurar o encaminhamento de porta para que qualquer solicitação para a porta 80 seja enviada diretamente para o servidor Web App.

# 2 FIREWALL

O Windows Advanced Firewall executaria nosso trabalho obrigatório de maneira aceitável? (Imagino que a resposta seja sim.)

# 3 VPN

Configurar uma VPN tem sido uma dor até agora (os certificados são irritantes!). Todos os tutoriais que eu vi parecem ter as funções DNS e DHCP em execução na máquina VPN ... por que isso acontece? Ambos são necessários ou posso biná-los?

Geral

As mais alguma dica sobre como configurar este servidor para as nossas necessidades?

Obrigado por qualquer conselho. Me desculpe se esta é uma pergunta muito mal feita! (Há uma recompensa, pelo menos:)

    
por Django Reinhardt 05.11.2009 / 12:50

8 respostas

5

Você pode usar o RRAS para firewall, NAT e VPN, portanto, é possível fornecer um único endereço IP público ao seu firewall do Windows Server 2008 e fazer com que ele direcione o tráfego para toda a sua rede interna e encaminhar portas específicas (fe 80) para seus servidores internos, e você também pode agir como um servidor VPN (PPTP e / ou L2TP). O RRAS existe desde o Windows 2000 e faz seu trabalho muito bem para configurações simples .

não é uma solução completa de firewall / proxy; você não pode definir políticas refinadas, não faz nenhum proxy na web (seja direto ou inversa), não pode filtrar o tráfego no nível do aplicativo e não registrar o tráfego na rede para análise posterior.

Resumindo: sim, o RRAS pode fazer tudo o que você precisa, de forma simples e um pouco crua; mas não é uma solução de acesso e segurança de rede completa como ISA ou TMG.

    
por 23.11.2009 / 07:05
2

Acabei de criar algo bastante semelhante há cerca de uma hora. O Windows Server 2008 R2 é uma solução totalmente viável para o que você está fazendo.

Concordo com os comentários até agora sobre o uso do ISA para o firewall. O firewall do Windows pode funcionar, mas é bastante básico e não possui nenhum IDS ou filtragem. ISA é o caminho a percorrer se você puder, caso contrário, o Firewall do Windows é ok como um trampolim.

Para sua VPN, não, DNS e DHCP não precisam estar no mesmo servidor que o RRAS. O DNS pode estar em qualquer lugar, e o DHCP precisa estar apenas na sub-rede interna.

Para seus IPs internos, eles podem ser originados no servidor do firewall / roteador, portanto, a linha superior esquerda no diagrama é realmente uma linha dentro da linha verde. Use VPN para se conectar ao servidor firewall / roteador / vpn que irá atribuir um IP interno.

Para o servidor de banco de dados, basta fornecer um IP interno e ele só será acessível por dentro.

Na NIC interna do servidor do roteador, atribua um IP x.x.x.1 (ou seja, 10.0.0.1) e use-o como seu gateway para sua NIC interna no servidor da Web e para seu servidor de banco de dados. Isso lhe dará a rede interna e o roteamento.

Além disso, se você instalar o RD Gateway Server, poderá executar o RDP no seu computador interno de fora da rede também.

    
por 26.11.2009 / 08:57
1

Se você estiver usando uma caixa Server2008 como firewall, convém usar o ISA.

    
por 05.11.2009 / 14:18
1

Para ser honesto, por que não usar um roteador para pequenas empresas de porte médio a partir da Linksys. Eu uso o RV042 nessa configuração exata. Eu tenho um endereço IP que é encaminhado para o servidor Web (usando NAT) em 80 e 443 eo roteador é um servidor VPN também usando apenas o cliente VPN do Windows. É cerca de US $ 200, em seguida, seu servidor é realmente removido fisicamente da Internet, caso algo no firewall do software do servidor seja acidentalmente desativado, ele não ficará exposto na Internet.

    
por 05.11.2009 / 14:56
1

Nós usamos o Kerio WinRoute Firewall em nossos servidores Windows. Ele não faz proxy reverso, mas como para todo o resto, é muito bem suportado com recursos. Nós temos usado por 8/9 anos através das várias versões e atualmente é muito bom. Também é mais barato que o ISA e muito mais fácil de configurar.

Quanto ao proxy reverso, ainda não precisamos disso, mas estaríamos interessados em descobrir o que você faz no final, se necessário. Nós até agora contornamos isso, já que temos um bloco de endereços IP, então mapeie-os para diferentes servidores internos.

Deixe-me saber se você precisa de ajuda para configurá-lo.

    
por 05.11.2009 / 16:25
1

1) Sobre roteamento Sim, tudo pode ser simplesmente roteado para o IIS com o RRAS, você só precisa configurar os registros DNS A adequados e fazer vários cliques no snap-in RRAS e também precisa configurar o IIS para obter cabeçalhos e portas apropriados. 2) É possível trabalhar sem firewall, mas é claro que diminuirá a segurança. É possível colocar o FreeBSD, Linux ou qualquer outro firewall baseado em limites, ou um simples firewall de hardware. 3) O Windows 2008 oferece ótimos SSTP, além de túneis PPTP e L2TP, VPN, que não dependem do protocolo GRE e funcionam em qualquer lugar. Mas você realmente precisa de túneis VPN? O Server 2008 também oferece um ótimo recurso TS RemoteApp, que é mais seguro, porque não oferece acesso total à rede do servidor, mas apenas a um aplicativo específico.
Você planeja servidor para hospedar também recursos internos da web?

    
por 25.11.2009 / 10:24
1

Eu tive um problema semelhante ao seu. Um cavalheiro neste fórum recomendou que eu usasse o Astaro Security Gateway .

Eu peguei sua licença gratuita e joguei por um tempo com o software. No final do dia (na verdade, noite), consegui configurar uma máquina Pentium 4 para atuar como um firewall bem-sucedido e substituir dois roteadores separados.

Agora eu executo um servidor da Web que atende a dois endereços IP WAN (com balanceamento de carga de uplink) e o tráfego interno é redirecionado para o IP local do servidor sem passar pela Internet.

A vantagem do Astaro é que você tem controles granulares de cada movimento de pacote na sua rede. Você pode ter que tentar primeiro.

    
por 26.11.2009 / 12:32
0

Você não disse em qual plataforma está olhando, então vou recomendar m0n0wall .

É um reempacotamento completo do FreeBSD para uso como firewall / roteador / etc.

EDITAR
atualizando com base nos comentários do Django, eu pensei que os servidores Win2k8 deveriam ser BEHIND o firewall, e não em que INSTALAR o firewall

Com esse sendo o caso, minha recomendação inicial de m0n0wall não faz sentido:)

Se você mudar de ideia, ainda assim:)

    
por 05.11.2009 / 13:29