none
Due schede di rete contemporaneamente attive nello stesso server? RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno a tutti,

    la guida rapida di un firewall hardware mi mostra un disegno in cui si vede: a) un cavo ethernet che esce dal firewall ed entra in un server. b) un cavo ethernet che esce da quel server ed entra in uno switch, c) un computer che, tramite un cavo ethernet, si collega allo switch.

    Questa immagine mi ha fatto supporre: 1) che quel server abbia, al proprio interno, o due schede ethernet contemporaneamente attive o una scheda ethernet a due porte, 2) che quel server costituisca un vero e proprio filtro fisico per il flusso dati che percorre il segmento di rete che va dal firewall allo switch, per poi raggiungere i PC collegati a quello switch.

    Posto che il disegno di cui ho parlato sia corretto, che sul server sia installato Windows Server 2008 e che sui PC sia installato Windows 7 Pro, ecco le domande:

        - che configurazione ethernet adottereste? Quella a due schede mono-porta o quella di una scheda a due porte?

        - come configurereste sul server e sui client le connessioni di rete?

        - quale applicativo di intrusion prevention/detection installereste sul server (per controllare, a valle, l'effettiva efficacia difensiva del firewall hardware)?

    Grazie per la vostra attenzione,

    CPA



    sabato 23 maggio 2015 14:19
    |

Risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    In ogni caso:

    - Come best practices un server utilizzato come router/firewall non dovrebbe avere altri ruoli installati (soprattutto DC e DNS), quindi la maggior parte delle volte per una configurazione di questo tipo è necessario disporre di due server o eseguire delle installazioni virtuali (dimensionando opportunamente l'hardware in base al carico di lavoro).

    - Considera che le prestazioni di una soluzione software non saranno mai paragonabili a quelle offerte da un dispositivo hardware dedicato.

    - Anche se Microsoft in alcuni articoli relativi a SBS sembra incoraggiare configurazioni basate su singolo server a mio parere non dovrebbero rappresentare la norma e, quando possibile, è bene evitarle.

    domenica 24 maggio 2015 16:41
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Avere almeno due schede può essere la normalità nel caso tu usi il server con il servizio di "Accesso Remoto"... comunque rimangono validi i consigli di Fabrizio, è molto facile creare delle situazioni problematiche usando le doppie schede, soprattutto se non si è particolarmente ferrati in networking ...

    https://technet.microsoft.com/it-it/library/dd469830.aspx   

    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 25 maggio 2015 20:02
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao,

    mi piacerebbe vedere quella guida, il disegno descritto magari é contestualizzato sulla guida.

    2 schede o una scheda a due porte? Scusa ma non capisco, Sono comunuque 2 device ethernet con due MAC address diversi.

    Dovresti chiarire o condividere la guida su onedrive magari.

    Intrusion prevention sul server? Non capisco, hai un firewall che puoi configurare....

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli domenica 24 maggio 2015 19:12
    sabato 23 maggio 2015 17:29
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    In ogni caso:

    - Come best practices un server utilizzato come router/firewall non dovrebbe avere altri ruoli installati (soprattutto DC e DNS), quindi la maggior parte delle volte per una configurazione di questo tipo è necessario disporre di due server o eseguire delle installazioni virtuali (dimensionando opportunamente l'hardware in base al carico di lavoro).

    - Considera che le prestazioni di una soluzione software non saranno mai paragonabili a quelle offerte da un dispositivo hardware dedicato.

    - Anche se Microsoft in alcuni articoli relativi a SBS sembra incoraggiare configurazioni basate su singolo server a mio parere non dovrebbero rappresentare la norma e, quando possibile, è bene evitarle.

    domenica 24 maggio 2015 16:41
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Avere almeno due schede può essere la normalità nel caso tu usi il server con il servizio di "Accesso Remoto"... comunque rimangono validi i consigli di Fabrizio, è molto facile creare delle situazioni problematiche usando le doppie schede, soprattutto se non si è particolarmente ferrati in networking ...

    https://technet.microsoft.com/it-it/library/dd469830.aspx   

    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 25 maggio 2015 20:02
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Ciao Pier Antonio,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.

    Grazie della collaborazione.

    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    giovedì 28 maggio 2015 09:14
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    ftp://ftp.zyxel.com/ZyWALL_USG_20/quick_start_guide/ZyWALL%20USG%2020_2.pdf

    Pagina 2, primo trafiletto a sinistra, disegno in area rosa.

    lunedì 1 giugno 2015 18:04
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    ftp://ftp.zyxel.com/ZyWALL_USG_20/quick_start_guide/ZyWALL%20USG%2020_2.pdf

    Pagina 2, primo trafiletto a sinistra, disegno in area rosa.

    Secondo me hai preso troppo "sul serio" il disegno di quella guida. Quella è solo una rappresentazione molto schematica di una subnet e non c'entra niente con una configurazione multihoming di un server (anche perché non è proprio uno degli argomenti trattati in quella guida). Per intenderci secondo me potevano semplicemente rappresentarlo come nell'area in giallo e sarebbe stato lo stesso ai fini della guida...

    lunedì 1 giugno 2015 20:23
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    ftp://ftp.zyxel.com/ZyWALL_USG_20/quick_start_guide/ZyWALL%20USG%2020_2.pdf

    Pagina 2, primo trafiletto a sinistra, disegno in area rosa.

    Secondo me hai preso troppo "sul serio" il disegno di quella guida. Quella è solo una rappresentazione molto schematica di una subnet e non c'entra niente con una configurazione multihoming di un server (anche perché non è proprio uno degli argomenti trattati in quella guida). Per intenderci secondo me potevano semplicemente rappresentarlo come nell'area in giallo e sarebbe stato lo stesso ai fini della guida...


    Certamente (non sei il solo che mi ha risposto in modo simile) e poi ho personalmente constatato che da P4 a switch e da Switch a PC la linea funziona. Ciò che però mi resta ancora oscuro (ma poi finirà che proverò a sperimentare se sia possibile ed in quali termini) è se l'isolamento fisico dei PC dalla P4, dato dal fatto che il server sia interposto tra la P4 e lo switch (: P4--->I^porta ethernet del dual port ethernet controller del Server--->II^porta ethernet del dual port ethernet controller del Server--->porta N dello Switch) possa costituire un ulteriore sistema di sicurezza aggiunto a quello già presente oppure un sistema di monitoraggio del funzionamento del firewall hardware nei confronti dei PC della LAN 2. Grazie.
    sabato 13 giugno 2015 08:39
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciò che però mi resta ancora oscuro (ma poi finirà che proverò a sperimentare se sia possibile ed in quali termini) è se l'isolamento fisico dei PC dalla P4, dato dal fatto che il server sia interposto tra la P4 e lo switch possa costituire un ulteriore sistema di sicurezza aggiunto a quello già presente oppure un sistema di monitoraggio del funzionamento del firewall hardware nei confronti dei PC della LAN 2. Grazie.

    Certo, con il ruolo "Routing e accesso remoto" hai diverse funzionalità per il monitoraggio e per la sicurezza ma può risultare inutile se hai già altri sistemi hardware e, come dicevamo, richiede possibilmente l'utilizzo di un server ad-hoc.

    Qui puoi trovare qualche esempio di configurazione:

    https://technet.microsoft.com/it-it/library/cc753870(v=ws.10).aspx

    Per incrementare la sicurezza forse potrebbe interessarti anche Protezione accesso alla rete nel ruolo "Server dei criteri di rete":

    https://technet.microsoft.com/it-it/library/cc754378.aspx

    sabato 13 giugno 2015 09:11
    |
    Moderatore