Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Planung DMZ

Guten Tag,

durch den zu Kauf weiterer ASG habe ich jetzt die Möglichkeit eine vernünftige DMZ aufzubauen.Jedoch stecke ich gerade in der Planungsphase etwas fest,welche Variante besser ist.

Grundlagen:

3x ASG 220 steht zur Verfügung online. 1x ASG 220 als Backup Maschine offline

- Außenstellen sind mehrer per RED angebunden (Zugriff auf internes Netz,Server,Dienste)
- VPN IPSec Clients ca 50 Stück
- mehrer VPN Site-to-Site Tunnel
- Veröffentlichung im Internet : OWA, Postfix Relay


Idee:

1. Firewall Extern DMZ
2. Firewall DMZ  Intern
3. Firewall VPN Gateway

Ich weiß eine DMZ macht immer Sinn, aber im Endeffekt wären es derzeit nur zwei Server die Postfix MTA und evtl. einen Exchange 2010 Transport Hub mit dem ich OWA machen möchte. Wobei ich überlege überhaupt einen Transport Hub zu machen, da er für nix anderes als OWA dienen soll?!

Dann ist eine weitere Frage an welchen Punkt Klemme ich die RED`s dann an?
Kommen die an die Firewall die am WAN hängt oder an die zwischen DMZ und Intern? Kann man die REDs überhaupt an die Interne klemmen, zwecks aufbau des tunnels?

Ein dritter Schritt ist was ich mir ausgedacht habe ist eine dritte Firewall als VPN Gateway zu nutzen da wir wirklich sehr viele haben und das stetig steigen tut. Da 6 öffentliche IP Adressen zur Verfügung stehen ist das nicht so das Problem.Bloß an welchem Punkt diese stellen? Die müsste ja am gleichen punkt wie die 1 Firewall stehen oder? Desweiteren müssen aber leider halt die VPN Clients auf interne Server.

Hier noch eine kurze Ideen Zeichnung:




Danke für euer Feedback und Ideenvorschläge schon mal [:)]


This thread was automatically locked due to age.
Parents
  • Gegenfrage: Warum kein aktiv-aktiv/passiv mit 2 ASG220 in welcher alle 3 Zonen enthalten sind?
  • Weil mir dafür die Ports fehlen, durch viele Standorte die per Standleitungen verbunden sind würde ich ca 12 ports benötigen.
    Ich nutze ja schon derzeit 2 verschiedene öffentliche IP Adressen nur für OWA Einstieg da verschiedene Domänen. 
    Weil ich damals bevor Web Application Security kam bzw. aktuell immer noch zwei ISA Server nutze um zwei Exchange über OWA abzusichern und damals ging
    das mit zwei ip adressen auf einem port ja nicht weil nur einmal https pro interface zu verfügung stand/steht
Reply
  • Weil mir dafür die Ports fehlen, durch viele Standorte die per Standleitungen verbunden sind würde ich ca 12 ports benötigen.
    Ich nutze ja schon derzeit 2 verschiedene öffentliche IP Adressen nur für OWA Einstieg da verschiedene Domänen. 
    Weil ich damals bevor Web Application Security kam bzw. aktuell immer noch zwei ISA Server nutze um zwei Exchange über OWA abzusichern und damals ging
    das mit zwei ip adressen auf einem port ja nicht weil nur einmal https pro interface zu verfügung stand/steht
Children