11
Proxy Lösung sinnvoll?
Hallo zusammen,
Wir haben derzeit immer wieder Probleme mit unserem Internet Zugang, und sind deshalb am überlegen wie wir den Zugang besser gestalten könnten.
Folgende Ausgangssituation:
Client schaut auf einen Server mit Webmarshal (Usersteuerung),
dieser guckt auf einen Proxy in der DMZ (ISA),
und über die Firewall (Cisco ASA) ins Netz!
Wie würdet ihr vorgehen? Ist der ISA überhaupt noch sinnvoll?
Würde mich über eure Lösungsvorschläge freuen!
Danke,
Gruß Patrick
Wir haben derzeit immer wieder Probleme mit unserem Internet Zugang, und sind deshalb am überlegen wie wir den Zugang besser gestalten könnten.
Folgende Ausgangssituation:
Client schaut auf einen Server mit Webmarshal (Usersteuerung),
dieser guckt auf einen Proxy in der DMZ (ISA),
und über die Firewall (Cisco ASA) ins Netz!
Wie würdet ihr vorgehen? Ist der ISA überhaupt noch sinnvoll?
Würde mich über eure Lösungsvorschläge freuen!
Danke,
Gruß Patrick
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180899
Url: https://administrator.de/forum/proxy-loesung-sinnvoll-180899.html
Ausgedruckt am: 13.04.2025 um 09:04 Uhr
11 Kommentare
Neuester Kommentar
ISA ein Proxy + Firewall.
Webmarshal ist ein Proxy.
ASA ist eine Firewall.
Frage beantwortet?
Abgesehen davon wird M$ wohl die Weiterentwicklung von ISA einstellen.
Webmarshal ist ein Proxy.
ASA ist eine Firewall.
Frage beantwortet?
Abgesehen davon wird M$ wohl die Weiterentwicklung von ISA einstellen.
Abgesehen davon wird M$ wohl die Weiterentwicklung von ISA einstellen.
würde ich so nicht sehen:
http://www.microsoft.com/germany/forefront/edgesecurity/tmg/default.msp ...
lg
TMG war da mit eingeschlossen.
Die Version ist auch schon wieder alt, kann kein IPv6 (!) und Microsoft hat bis heute keinerlei Äußerung zu irgendeiner neuen Version gemacht.
Dafür aber einem Börsenpapier gesagt, das sie es nicht mehr weiterentwickeln wollen.
Die Version ist auch schon wieder alt, kann kein IPv6 (!) und Microsoft hat bis heute keinerlei Äußerung zu irgendeiner neuen Version gemacht.
Dafür aber einem Börsenpapier gesagt, das sie es nicht mehr weiterentwickeln wollen.
all clear, man lernt nie aus!
lg
lg
Danke, soweit wusste ich es auch.
Mir gehts mehr darum wie ihr es aufbauen würdet...
Webmarshal und dann direkt zur Firewall?
Oder Webmarshal auf den Server in der DMZ?
DMZ überhaupt nötig? Sinnvoll?
Oder ganz eine andere Lösung?
Mir gehts mehr darum wie ihr es aufbauen würdet...
Webmarshal und dann direkt zur Firewall?
Oder Webmarshal auf den Server in der DMZ?
DMZ überhaupt nötig? Sinnvoll?
Oder ganz eine andere Lösung?
Hallo!
ich denke, dog wollte Dir mit seinem ersten Beitrag sagen, dass ISA beide Aufgaben abdecken kann....
hier findest Du einen Aufbau, wie ich ihn schon öfter mit ISA realisiert habe (Grafik am Ende des Artikels)
http://www.schulnetz.info/vlan-teil6-default-gateway-wir-wollen-ins-int ...
vielleicht hilft Dir dieser Ansatz dabei, eine eingene Lösung aufzubauen.
gutes Gelingen,
lg
ich denke, dog wollte Dir mit seinem ersten Beitrag sagen, dass ISA beide Aufgaben abdecken kann....
hier findest Du einen Aufbau, wie ich ihn schon öfter mit ISA realisiert habe (Grafik am Ende des Artikels)
http://www.schulnetz.info/vlan-teil6-default-gateway-wir-wollen-ins-int ...
vielleicht hilft Dir dieser Ansatz dabei, eine eingene Lösung aufzubauen.
gutes Gelingen,
lg
Zitat von @Edi.Pfisterer:
Hallo!
ich denke, dog wollte Dir mit seinem ersten Beitrag sagen, dass ISA beide Aufgaben abdecken kann....
hier findest Du einen Aufbau, wie ich ihn schon öfter mit ISA realisiert habe (Grafik am Ende des Artikels)
http://www.schulnetz.info/vlan-teil6-default-gateway-wir-wollen-ins-int ...
vielleicht hilft Dir dieser Ansatz dabei, eine eingene Lösung aufzubauen.
gutes Gelingen,
lg
Hallo!
ich denke, dog wollte Dir mit seinem ersten Beitrag sagen, dass ISA beide Aufgaben abdecken kann....
hier findest Du einen Aufbau, wie ich ihn schon öfter mit ISA realisiert habe (Grafik am Ende des Artikels)
http://www.schulnetz.info/vlan-teil6-default-gateway-wir-wollen-ins-int ...
vielleicht hilft Dir dieser Ansatz dabei, eine eingene Lösung aufzubauen.
gutes Gelingen,
lg
Hallo!
Wie gesagt, mir ist klar was welche Software kann, es geht mir mehr darum wie es am sinnvollsten ist, den Internet Zugang bereitzustellen.
Die ASA könnte ja genauso als Proxy funktionieren...
ISA müsste ich erstmal updaten da 2006, und die Userverwaltung ist bei weitem nicht so bequem wir im Webmarshal (zumindest für meinen Geschmack)
Ich möchte einfach wissen welche Lösungen ihr bevorzugt, oder was ist "state of the art"...
ISA?
DMZ?
ASA?
Webmarshal?
JA, NEIN, oder ganz was anderes?
Hallo!
die Standardantwort wäre vermutlich "das kommt darauf an"...
Abhängig vom vorhandenen Budget bzw. der bereits angekauften Software/Infrastruktur ist der ISA-Server (auch der 2004er) in Verbindung mit einem AD eine einfach zu konfugierende und sehr wartungsfreie Lösung, da der Proxyserver Deine User automatisch bereits in der Standardkonfiguration kennt.
Weiters ist natürlich beim Neuanlegen eines Users im AD keine Arbeit am Proxy durchzuführen...
Wenn Du - wie aus der Grafik im verlinkten Beitrag - den ISA-Server mit 2 NICs (LAN + WAN) als Firewall und Proxy einsetzt, kannst Du imho auf die ASA bzw. Webmarshal verzichten.
btw: Ein Update auf ISA 2006 würde ich aus kostengründen nicht für sinnvoll halten. Ich habe beide bei Kunden im Einsatz, der große Unterschied ist für mich beim Einsatz für einen einzigen Standort nicht zu erkennen...
Falls Ihr den ISA 2006 aber ohnehin vorhanden habt (Campuslizenz o. ä.), spricht auch nichts dagegen. Die Installation + Konfiguration eines ISA ist < 1,5 Stunden erledigt...
Falls Du aber kein AD haben solltest, kannst Du - je nach Deinen Kenntnissen und der bereits vorhandenen Infrastruktur - unter den von Dir genannten einsetzen was Du willst...
Der Aufbau Deines Netzes wird dadurch nicht beeinflusst!
"State of the Art" ist imho der im verlinkten Beitrag angedeutete Zugang, und was dann an der Stelle der Firewall+Proxy steht, ist relativ egal....
Falls Du alles ganz richtig machen willst, könntest Du Dein Netz natürlich auch so wie hier dargestellt realisieren:
http://de.wikipedia.org/w/index.php?title=Datei:DMZ_network_diagram_2_f ...
in diesem Fall würde ich den ISA zum Proxy+Firewall machen und die ASA zur 2. Firewall...
ist aber dann natürlich zusätzlich eine Frage des Zeitaufwandes, den Du in das Projekt investieren möchtest...
Zusammenfassung: bei vorhandenem AD würde ich dem ISA den Vorzug geben, ansonsten dem Produkt, mit dem ich mich am besten auskenne...
Zweitmeinungen sind immer willkommen...
lg
edi
die Standardantwort wäre vermutlich "das kommt darauf an"...
Abhängig vom vorhandenen Budget bzw. der bereits angekauften Software/Infrastruktur ist der ISA-Server (auch der 2004er) in Verbindung mit einem AD eine einfach zu konfugierende und sehr wartungsfreie Lösung, da der Proxyserver Deine User automatisch bereits in der Standardkonfiguration kennt.
Weiters ist natürlich beim Neuanlegen eines Users im AD keine Arbeit am Proxy durchzuführen...
Wenn Du - wie aus der Grafik im verlinkten Beitrag - den ISA-Server mit 2 NICs (LAN + WAN) als Firewall und Proxy einsetzt, kannst Du imho auf die ASA bzw. Webmarshal verzichten.
btw: Ein Update auf ISA 2006 würde ich aus kostengründen nicht für sinnvoll halten. Ich habe beide bei Kunden im Einsatz, der große Unterschied ist für mich beim Einsatz für einen einzigen Standort nicht zu erkennen...
Falls Ihr den ISA 2006 aber ohnehin vorhanden habt (Campuslizenz o. ä.), spricht auch nichts dagegen. Die Installation + Konfiguration eines ISA ist < 1,5 Stunden erledigt...
Falls Du aber kein AD haben solltest, kannst Du - je nach Deinen Kenntnissen und der bereits vorhandenen Infrastruktur - unter den von Dir genannten einsetzen was Du willst...
Der Aufbau Deines Netzes wird dadurch nicht beeinflusst!
"State of the Art" ist imho der im verlinkten Beitrag angedeutete Zugang, und was dann an der Stelle der Firewall+Proxy steht, ist relativ egal....
Falls Du alles ganz richtig machen willst, könntest Du Dein Netz natürlich auch so wie hier dargestellt realisieren:
http://de.wikipedia.org/w/index.php?title=Datei:DMZ_network_diagram_2_f ...
in diesem Fall würde ich den ISA zum Proxy+Firewall machen und die ASA zur 2. Firewall...
ist aber dann natürlich zusätzlich eine Frage des Zeitaufwandes, den Du in das Projekt investieren möchtest...
Zusammenfassung: bei vorhandenem AD würde ich dem ISA den Vorzug geben, ansonsten dem Produkt, mit dem ich mich am besten auskenne...
Zweitmeinungen sind immer willkommen...
lg
edi
Werde den ISA los, der ist ohnehin am aussterben.
Ob du den Webmarshal in die DMZ packst oder nicht nimmt sich nicht viel.
Allgemein wäre aber die DMZ wohl ein wenig sauberer
Ob du den Webmarshal in die DMZ packst oder nicht nimmt sich nicht viel.
Allgemein wäre aber die DMZ wohl ein wenig sauberer
Hallo edi
Danke erstmal, sind super Ansätze dabei!!
Wie gesagt die Userverwaltung (AD-Schnittstelle) hängt jetzt im LAN am Webmarshal... Der ISA lässt alles vom Webmarshal Server "durch"...
Ist der ISA als Firewall wirklich sinnvoller als die ASA? Rein aus dem Bauchgfühl würde ich lieber auf den ISA verzichten und die ASA als Firewall lassen... Da hängt eben auch VPN drauf.
ISA 2006 oder ähnlich müssten wir kaufen, bei Webmarshal gibts einen Wartungsvertrag...
Dann würdest du also auch die DMZ weglassen?
Die andere Lösung heißt Server 1 mit ISA als Proxy und Firewall, ein Fuß im LAN, ein Fuß in der DMZ, Server 2 in der DMZ, und ASA mit einem Fuß in der DMZ und einem in Netz? Auf Server 2 klatsche ich dann zb nur den FTP Server?
Wir haben auch noch den Mailmarshal als Spamfilter im Einsatz, dieser ist derzeit in der DMZ, dies wieder so?
Weißt du wie es Perfomance technisch aussieht? Ich möchte vorallem eine gute Bandbreite und Stabilität des Internets erreichen (jetzt kackt zb Netviewer alle 10 Minuten mal ab usw..) Wir haben eine 8 MBit synchron...
Zeitaufwand ist mir weniger wichtig, ich möchte eine sinnvolle, zukunftssichere Lösung...
@dog
Wäre auch eine interessante, einfache Lösung. Die Frage ob die ASA+Webmarshal "sicher" genug ist!?
Wie sieht es mit OWA aus, bei deiner Lösung?
Danke erstmal, sind super Ansätze dabei!!
Wie gesagt die Userverwaltung (AD-Schnittstelle) hängt jetzt im LAN am Webmarshal... Der ISA lässt alles vom Webmarshal Server "durch"...
Ist der ISA als Firewall wirklich sinnvoller als die ASA? Rein aus dem Bauchgfühl würde ich lieber auf den ISA verzichten und die ASA als Firewall lassen... Da hängt eben auch VPN drauf.
ISA 2006 oder ähnlich müssten wir kaufen, bei Webmarshal gibts einen Wartungsvertrag...
Dann würdest du also auch die DMZ weglassen?
Die andere Lösung heißt Server 1 mit ISA als Proxy und Firewall, ein Fuß im LAN, ein Fuß in der DMZ, Server 2 in der DMZ, und ASA mit einem Fuß in der DMZ und einem in Netz? Auf Server 2 klatsche ich dann zb nur den FTP Server?
Wir haben auch noch den Mailmarshal als Spamfilter im Einsatz, dieser ist derzeit in der DMZ, dies wieder so?
Weißt du wie es Perfomance technisch aussieht? Ich möchte vorallem eine gute Bandbreite und Stabilität des Internets erreichen (jetzt kackt zb Netviewer alle 10 Minuten mal ab usw..) Wir haben eine 8 MBit synchron...
Zeitaufwand ist mir weniger wichtig, ich möchte eine sinnvolle, zukunftssichere Lösung...
@dog
Wäre auch eine interessante, einfache Lösung. Die Frage ob die ASA+Webmarshal "sicher" genug ist!?
Wie sieht es mit OWA aus, bei deiner Lösung?
Niemand mehr eine Idee? Oder kennt jemand einen kompetenten Partner aus der Bodenseeregion?
