Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 9 subscribers
  • Views 1489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zu den Zonen ..

mipo

Hallo zusammen,

ich migriere zur Zeit eine weitere Sophos SG Firewall zur XG. Ich bin einfach unschlüssig, was die richtige Verwendung der "Zonen" in meinem Fall ist.

Um es vereinfacht zu sagen, gibt es ja per Default eine LAN, DMZ und WAN Zone. Ich arbeite bister ausschließlich mit LAN und WAN Zone. Am WAN hängt
ja der Internetrouter und im LAN, klar, das lokale Netzwerk mit seinen Servern und PC's ...

Wenn ich jetzt nun aber bei einem Standort drei WAN Netze = 3 Provider = 2 x DSL, 1 x Kabelanschlus wie setze ich hier die Zonen richtig ein? Macht es Sinn
für jeden Provider WAN, WAN1 und WAN2 einzurichten? Ein Provider dient definitiv zur Einwahl per VPN oder E-Mail. Die anderen Provider dienen weitestgehend
der generellen (schnellen) Internetkommunikation ausgehend. Optimal wäre es, wenn man eine Art Lastenausgleich definieren könnte.

Auch intern gibt es ein GAST, LAN und Video Netz. Mit jeweils eigenen Netzen. Wie würdet ihr hier vorgehen? Was ist sinnvoll?

Vielen Dank im Voraus für eure weiterführenden Infos ...

lG Michael



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Michael,

    Ich verwende fast immer "any" als Zone und dafür mit detaillierten Netz- & Host-definitionen. (komme halt auch von der SG)

    WAN als Zone+Any als "Netze"  ist ein guter Ersatz für das SG-"Internet".

    Gelegentlich, z.B. wenn ich mehrere GAST-Netze (GAST-LAN,GastWLAN1,GastWLAn2,...) o.Ä. habe, verwende ich auch die Zone "Gast".

    Eine Zone "Clients" mit genau einem Client-Subnetz dahinter muss man nicht in einer Regel kombinieren. Das bringt keinen Sicherheitsgewinn.

    Also mache ich ZONE oder IP ...

    Für die 3 ISP würde ich nur WAN verwenden. Das zu verändern, ist nicht schwer, wenn der Bedarf entsteht.

    Den WAN Lastausgleich machst du unabhängig von Zonen über SD-WAN-Routing. (Ist den SG-Uplink-Policies ähnlich)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Michael,

    ich glaube hier ist jeder "Jeck" anderes. Ich habe es tatsächlich ganz gerne granular zu arbeiten. Was aber auch zu Problemen führen kann. Ich Strukturiere meine Sophos Ports/Zonen und Netze gerne wie im Beispiel folgt. Natürlich dürfen die SD-WAN Konfigurationen nicht fehlen wenn mehr als ein Internetanschluss angelegt ist. Die SNAT default Regel verwende gerne wie sie ist any - > Alle GW rein. Vergiss nicht die ZSL anzupassen, schalte die Dienste weg, in Zonen, die diese nicht benötigen. So würde bei mir die ZSL bei einem Telefonnetz aussehen.

    Physische  Ports der Sophos

    P1_LAN_intern
    P2_LAN_Telefon
    P3_LAN_Server

    P8_WAN_Telekom           Gateway    Beschreibung = WAN_Telekom
    P7_WAN_Netcologne      Gateway    Beschreibung = WAN_Netcologne


    HOST und Dienste

    NETZ_Intern.110.X

    NETZ_Telefon.111.X

    NETZ_Server.112.X

     

    Quellzonen                                                      Quellnetzwerke und Geräte                       
    P1_LAN_intern                                                NETZ_Intern.110.X

     

     

    Zielzonen                                                            Zielnetzwerke                                                   Dienste
    WAN                                                                   Beliebig                                                             Beliebig

     

    ------------------------------------------------------------------------------------------------------------------------------------

     

    Quellzonen                                                        Quellnetzwerke und Geräte                       
    P1_LAN_intern                                                  NETZ_Intern.110.X

     

     

    Zielzonen                                                            Zielnetzwerke                                                   Dienste
    P3_LAN_Telefon                                                NETZ_Telefon.111.X                                         VoIP

    Ich hoffe es hilft dir deinen optimalen Weg zu finden.

    Beste Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • 0 in reply to dirkkotte

    Hallo Michael,

    ich glaube hier ist jeder "Jeck" anderes. Ich habe es tatsächlich ganz gerne granular zu arbeiten. Was aber auch zu Problemen führen kann. Ich Strukturiere meine Sophos Ports/Zonen und Netze gerne wie im Beispiel folgt. Natürlich dürfen die SD-WAN Konfigurationen nicht fehlen wenn mehr als ein Internetanschluss angelegt ist. Die SNAT default Regel verwende gerne wie sie ist any - > Alle GW rein. Vergiss nicht die ZSL anzupassen, schalte die Dienste weg, in Zonen, die diese nicht benötigen. So würde bei mir die ZSL bei einem Telefonnetz aussehen.

    Physische  Ports der Sophos

    P1_LAN_intern
    P2_LAN_Telefon
    P3_LAN_Server

    P8_WAN_Telekom           Gateway    Beschreibung = WAN_Telekom
    P7_WAN_Netcologne      Gateway    Beschreibung = WAN_Netcologne


    HOST und Dienste

    NETZ_Intern.110.X

    NETZ_Telefon.111.X

    NETZ_Server.112.X

     

    Quellzonen                                                      Quellnetzwerke und Geräte                       
    P1_LAN_intern                                                NETZ_Intern.110.X

     

     

    Zielzonen                                                            Zielnetzwerke                                                   Dienste
    WAN                                                                   Beliebig                                                             Beliebig

     

    ------------------------------------------------------------------------------------------------------------------------------------

     

    Quellzonen                                                        Quellnetzwerke und Geräte                       
    P1_LAN_intern                                                  NETZ_Intern.110.X

     

     

    Zielzonen                                                            Zielnetzwerke                                                   Dienste
    P3_LAN_Telefon                                                NETZ_Telefon.111.X                                         VoIP

    Ich hoffe es hilft dir deinen optimalen Weg zu finden.

    Beste Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
No Data
Unfiltered HTML