none
Configuração dos ISA 2006 com DMZ RRS feed

  • Pergunta

  •  

    Bom dia a todos, estou com a seguinte situação:

     

    Tenho um exchange 2007 atras de um Isa 2006 porem esse ISA e o firewall de Borda.

     

    Estou querendo separar os serviço e aumentar a segurança da empresa, porem preciso de um ajuda pra entender como fazer essa nova estrutura.

     

    Gostaria de ter um firewall de internet (ISA 2006) com uma DMZ e dentro dessa DMZ o meu exchange 2007, porem queria saber se é possivel esse meu exchange ter um IP exclusivo pois tenho 10 ips validos na Internet, mas como o ISA nao pode ter 2 wans nao sei como fazer isso.

     

    Logo abaixo do meu ISA 2006 de borda terei um outro ISA 2006 para firewall interno, onde meus clientes acessaram a internet por um IP diferente do exchange. A pergunta é:

     

    Como fazer o meu exchange 2007 passar pelo ISA de borda por um IP e meu clientes da rede interno passar pelos Firewalls por outro IP.

     

    Nao sei se fui muito claro mais é mais ou menos que quero fazer.

     

    É possivel?

     

    Obrigado.

    quinta-feira, 10 de julho de 2008 12:20

Respostas

  • Você pode colocar um firewall front-end com IP valido da internet, criar essa dmz com o range da internet, dentro dessa dmz vc pode colocar um exchange front end. Você pode colocar nas regras de rede para rotear as requisição da internet para sua DMZ.
    Não se esquecer que você vai precisar de um servidor DNS na internet para aponta para seu servidores na DMZ.
    Os servidores na dmz deve ser cliente SecureNAT do front-end
    Acho que no seu caso caberia uma Split DNS (que é quando você tem 2 servidores DNS, um para clientes da internet e ou pra rede interna, os Servidores DNS serão autoridades do mesmo espaço de nome de dominio


    Servidor ISA front end, vai precisar de um IP do seu range da internet, para que ele possa passar as requisições para o front-end
    Regra de rede para DMZ pode ser NAT ou route.

    Se precisar de um passo a passo acho que esse site pode ser util para você. www.isaserver.org tem uma coisa boa nesse site.


    flw.

    Precisa me add no msn f_fazzani@hotmail.com
    Fazzani
    segunda-feira, 25 de maio de 2009 13:56
  • O ideal é que tenha um segundo firewall que é o aconselhavel e mais ainda que esse firewall seja de preferencia uma appliance para não possuir as mesmas vulnerabilidades do ISA Server.
    Mas se você não dispor de recursos poderá usar o proprio ISA Server com 3 interfaces de rede e poderá usar a template 3-Leg para fazer essa DMZ. Como outros colegas falaram não é interessante você colocar seu servidor exchange de cara para internet e sim publicar os seus serviços através de um dos endereços IPs.
    Então nesse caso você teria que implementar nessa area desmilitarizada(DMZ) uma nova faixa de rede e publicar apenas os serviços que quer disponibilizar. Para manter seu sistema o mais seguro possível.
    segunda-feira, 25 de maio de 2009 20:02

Todas as Respostas

  • Não te aconselho a colocar ip válido no Exchange, minha sugestão seria a seguinte:

    Crie uma DMZ entre os dois firewalls, para isso você precisará escolher um range de ip´s diferentes, e configurar uma VLAN de forma que somente os computadores da DMZ e a "perna" do firewall possam se comunicar, depois disso basta criar as regras de acesso que você precisa para a DMZ;
    Coloque apenas um servidor com a função CAS do Exchange na DMZ, e crie as regras necessárias, tando as conexões vindas da Internet, da rede Interna quanto o roteamento entre elas;
    Para o acesso, basta configurar a saída Internet dos clientes internos por um ip válido, e a entrada das conexões vindas da Internet para o Exchange por outro ip, só lembre de configurar no seu DNS os registros MX corretamente.

    Espero ter ajudado
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. Rafael Carneiro Machado
    segunda-feira, 25 de maio de 2009 12:07
  • Você pode colocar um firewall front-end com IP valido da internet, criar essa dmz com o range da internet, dentro dessa dmz vc pode colocar um exchange front end. Você pode colocar nas regras de rede para rotear as requisição da internet para sua DMZ.
    Não se esquecer que você vai precisar de um servidor DNS na internet para aponta para seu servidores na DMZ.
    Os servidores na dmz deve ser cliente SecureNAT do front-end
    Acho que no seu caso caberia uma Split DNS (que é quando você tem 2 servidores DNS, um para clientes da internet e ou pra rede interna, os Servidores DNS serão autoridades do mesmo espaço de nome de dominio


    Servidor ISA front end, vai precisar de um IP do seu range da internet, para que ele possa passar as requisições para o front-end
    Regra de rede para DMZ pode ser NAT ou route.

    Se precisar de um passo a passo acho que esse site pode ser util para você. www.isaserver.org tem uma coisa boa nesse site.


    flw.

    Precisa me add no msn f_fazzani@hotmail.com
    Fazzani
    segunda-feira, 25 de maio de 2009 13:56
  • O ideal é que tenha um segundo firewall que é o aconselhavel e mais ainda que esse firewall seja de preferencia uma appliance para não possuir as mesmas vulnerabilidades do ISA Server.
    Mas se você não dispor de recursos poderá usar o proprio ISA Server com 3 interfaces de rede e poderá usar a template 3-Leg para fazer essa DMZ. Como outros colegas falaram não é interessante você colocar seu servidor exchange de cara para internet e sim publicar os seus serviços através de um dos endereços IPs.
    Então nesse caso você teria que implementar nessa area desmilitarizada(DMZ) uma nova faixa de rede e publicar apenas os serviços que quer disponibilizar. Para manter seu sistema o mais seguro possível.
    segunda-feira, 25 de maio de 2009 20:02