none
Virtuální firewall (Windows Server 2008 R2)

    Dotaz

  • Dobrý den,
    rád bych měl virtuální podnikový firewall (dvě síťovky - internet a LAN; mezitím firwall s NATem). Funguje to správně. Řeším, jak dobře zabezpečit, aby se nikdo z internetu nedostal na fyzický počítač (hostitel). Stačí na hostitelově síťové kartě, která je připojena do internetu, odstranit protokoly IPv4 a IPv6? Či je stále možné se na hostitele připojit?

    Děkuji moc a přeji pěkný víkend,
    Jan Kuchař



    21. května 2011 17:53

Odpovědi

Všechny reakce

  • Mozna rozumnnejsim resenim, nez blokovani protokolu je vazat jednu fyzickou sitovku s virtualni "externi" sitovkou firewalu smerujici do Internetu a druhou fyzickou sitovku je mozne vazat na "interni" virtualni sitovku, pricemz trik spociva v tom, ze HOST MA BLOKOVANY PRISTUP POUZE NA SITOVOU KARTU SMERUJICI NA INTERNET. Tim, ze je druha sitovka spojena s LAN mate moznost se na FW pripojit z vnitrni site a mit moznost vzdaleneho managementu. 
    • Označen jako odpověď honzakuchar 23. května 2011 20:29
    22. května 2011 8:11
    Moderátor
  • Dobrý den,

    přiznám se, že nejsem fanda řešení firewallu na virtuálním PC. Firewall je ohrožen slabinami hostitelského OS (pokud jej provozujete na SW bázi) a tady máte v podstatě hned 2 x OS pod firewallem... Není jednodušší tomu obětovat jeden fyzický PC nebo použít rovnou boxované řešení?

    22. května 2011 9:16
  • To ano, takto to v podstatě teď je, ale jak tedy zablokovat přístup hosta na fyzickou síťovku směřující na internet?
    22. května 2011 9:53
  • Dobrý den,

    musím se přiznat, že také nejsem fanda tohoto řešení. Nicméně dalšímu fyzickému stroji se chceme vyhnout jak to jen půjde, kvůli chlazení.

    Fyzický router by byl jistě řešením, ale byl by problém se zpětnou kompatibilitou. Používáme Kerio Control. A krabice (který vypadá jako router) s Keriem je neskutečně drahá.
    22. května 2011 9:56
  • Velmi jednoduse, externi karta v operacnim systemu HOSTu ma status DISABLED. Funguje mi to bez problemu s ISA 2006. Predpoklada to ale, ze "vnitrni switch" vytvarite s interni kartou, nejlepe postupne tak, ze externi kartu disejblujete, zajistite konektivitu FW a hosta na vnitrni sit a teprve pak externi kartu enablujete a navazete na FW a po navazani na FW lze externi kartu na hostovi disejblovat. Teprve po zajisteni vnitrni a vnejsi konektivity u operacniho systemu FW se instaluje software FW. Na vnitrni karte FW nastavujete IP adresu, masku a je-li soucasti Active Directory , tak take DNS. Na vnejsi karte muzete disejblovat vsechny nepotrebne sluzby, nastavite IP adresu, masku a DNS, pokud neni FW soucasti Active Directory. 
    22. května 2011 15:47
    Moderátor
  • Nepisete nic o Vasom virtualizacnom riesieni, tak budem predpokladat, ze mate Hyper-V.

    Co sa tyka zabezpecenia mrknite sem :

    http://technet.microsoft.com/en-us/library/dd283088(WS.10).aspx

     

    V pripade, ze mate Hyper-V v2 ( teda Windows Server 2008 R2, mozno idealne Core ... ), riesenim by pre Vas bolo pouzit samostatny fyzicky sietovy adapter pripojeny smerom do internetu, ktory bude priradeny virtualizovanemu FW a na ktorom zrusite prepinac "Allow management operating system to share this network adapter" :

    http://technet.microsoft.com/en-us/library/cc754263.aspx

    http://blogs.technet.com/b/jhoward/archive/2009/05/04/new-in-hyper-v-windows-server-2008-r2-part-1-dedicated-networks.aspx

    http://blogs.msdn.com/b/taylorb/archive/2009/01/12/hyper-v-v2-guest-only-external-networks-add-roles-wizard-changes.aspx

     

    Boris.

     

     

    • Označen jako odpověď honzakuchar 23. května 2011 20:29
    22. května 2011 21:44
  • Pro uplnost jeste uvadim, ze DVE polozky s MS Virtual Network Switch Protocol NEDISEJBLUJETE. Blokovani se tyka jen virtualniho spojeni s kartou smerujici k Internetu.

    Pokud mate pochybnosti o reseni, muzete bezpecnost otestovat "penetracnimi nastroji". Nejvice pouzivane najdete zde http://sectools.org. 

     

    23. května 2011 8:10
    Moderátor