Use un Firewall común para dos subredes diferentes

Navega tus respuestas
2

Quiero implementar un esquema de seguridad en una nueva configuración de red. Hay dos edificios para el cliente:

  • Edificio de oficinas 1 (OB1) con la dirección 10.0.0.0 / 255.255.255.0, Puerta de enlace 10.0.0.1 ( Router1 Zyxel). En OB1, se instala también el controlador de dominio (10.0.0.250) donde los usuarios de OB1 ya han unido a.

  • Edificio de oficinas 2 (OB2) con la dirección 10.0.1.0 / 255.255.255.0, Gateway 10.0.1.167 (instalado como dirección interna (lan) de un Firewall) El dispositivo firewall wan1 tiene la dirección 192.168.5.199 y utiliza 192.168.5.2 como dirección Router2 (Zyxel).

Router1 proporciona acceso a Internet para los usuarios de OB1 y Router2 proporciona acceso a Internet para los usuarios de OB2 . En OB2 , el cortafuegos se ha configurado para la protección y el filtrado web para la red 10.0.1.0 . Ambos edificios están conectados a través de VPN implementado entre Router1 y Router2 .

Me gustaría saber:

  1. cómo configurar la protección de cortafuegos de OB1 (red 10.0.0.0) utilizando el dispositivo de cortafuegos en OB2 (quizás con alguna reconfiguración de la red)
  2. cómo configurar usuarios en OB2 (red 10.0.1.0) para unirse al dominio implementado en el controlador de dominio que forma parte de la red 10.0.0.0 en OB1
pregunta johnf23 11.08.2011 - 11:17
fuente

3 respuestas

1

Puede que esté muy lejos, pero si un edificio tiene el controlador de dominio y el otro tiene el firewall, ¿por qué no configura el tráfico del OB1 para que pase a través de la VPN a su puerta de enlace (10.0.1.167)? No hay suficiente información para realmente darle mucha orientación. Las preguntas que tengo son, ¿cómo se implementa tu VPN? ¿Está dispuesto a recibir un impacto en su ancho de banda si enruta todo su tráfico a través de una VPN solo para que pueda pasar por un filtro web? ¿Qué pasa si uno de los edificios se desconecta, cómo afectará al otro? En resumen, suena factible, pero ¿esa va a ser la mejor solución a largo plazo?

    
respondido por el Trev 11.08.2011 - 23:45
fuente
0

lo que entendí de tu pregunta es esto.

OB1 ---------------------- > Enrutador xyxel 1
OB2 ------ > firewall -------- > Enrutador Xyxel 2

Router1 y Router2 tienen una VPN para interconectividad. Cada enrutador tiene una conexión a Internet separada.

Ahora con esta información, debe tener en cuenta ciertas cosas.
1. ¿Su dispositivo de firewall admite conexiones múltiples a Internet? 2. De no ser así, una sola conexión puede ser suficiente para ambas oficinas. Entonces, ¿qué pasa con el punto único de falla (conexión ISP) aunque podría haber otro punto de falla único?

Sugeriría esto: 1. La conexión VPN entre office1 y office2 debe cambiarse a firewall y enrutador 1 de enrutador a enrutador.
2. La conexión a internet en office1 estará deshabilitada.
3. rutas predeterminadas agregadas en el enrutador 1 para enviar datos a través del firewall. 4. agregue reglas de firewall para permitir puertos como UDP 53, 88, 135. TCP 389, 53, 135, 138, 139, 445, 3268, 3269, 464 entre estas subredes

Otra forma de configurar esto sería
1. Coloque el enrutador xyxel 2 detrás del dispositivo de firewall en lugar del firewall actual detrás del enrutador.
2. Deshabilite Internet en Router1 y agregue una ruta predeterminada para reenviar paquetes al enrutador 2, que reenviará los datos vinculados a Internet a través de firewall a Internet y no requerirá una interfaz adicional.

Todo depende del tipo de hardware que tenga a su disposición.

    
respondido por el Auditor 11.08.2011 - 23:45
fuente
0

La respuesta simple a esto es simplemente no.

Necesitaría enrutar todo el tráfico a través de un único firewall en un solo punto físico.

Una cosa que podrías hacer es:

OB1 > --- (10.0.0.0) --- ISP - > VPN > - (pasarela a internet el 10.0.1.0/24(FW )> ;---OB2> ;---(10.0 .1.0) - > FW > - > 0.0.0.0/0

Pero perderías la mitad de tu ancho de banda de internet.

    
respondido por el neil 27.01.2012 - 05:54
fuente

Lea otras preguntas en las etiquetas

Construcción de Nonce para modo CTR (Mcrypt) Qué información se expone en los puntos de conexión de servicio (SCP) de AD