clschak
Goto Top

Umstrukturierung Internet Access Firma

Hallo und einen guten Morgen an dem schönen Feiertag face-smile

Wir bekommen in 3 Monaten einen Schwung neuer Hardware unter anderem auch eine andere Firewall, da die aktuelle Leistungstechnisch und vom Alter her nicht mehr ausreicht. Aus dem Grund würde ich gerne die Internetanbindung der Clients ändern - so lange das überhaupt Sinn macht, also Bitte die Bärte noch nicht ankleben und noch keine Steine beim Händler kaufen face-smile.

Die aktuelle Konfiguration sieht wie folgt aus:

fd5d643a161ee09d81793d6f7ce24e0b

Die FW #1 (Forefront TMG) dient als ersten FW und ist für die Authentifizierung (FBA Auth) diverser interner Seiten zuständig, u.a. auch Sharepoint. Der Gesamte Traffic wird in Summe durch die beiden Firewalls durchgereicht, somit müssen neue Regeln auch immer an zwei Stellen gepflegt werden. Im Moment ist das Problem, das der TMG diverse Dienste (z.B. Skype, Lync) "blockiert" - die funktionieren wohl, allerdings ist die Bild- und Sprachqualität ziemlich bescheiden, obwohl hier weder ein Proxy noch irgend etwas anderes den Traffic stören würde. Leistungstechnisch ist der Server überhaupt nicht ausgelastet - nicht einmal ansatzweise.

Wenn man im Gästenetz unterwegs ist, dass auf 10Mbit gedrosselt ist, was nicht über die FW #1 sondern nur über FW #2 geht, hat man keinerlei Probleme mit Lync oder Skype, Video und Sprachqualität sind Top.

Aus dem Grund würde ich den Aufbau gerne wie folgt anpassen:

f6bccf425420899b7d9d850e16eb5e66

Server und Auth bleiben wie es ist, die Clients können nun allerdings ins Netz ohne das FW#1 im Spiel ist, Zugriffsregeln (Internes LAN -> Internet) sind bei beiden FW's nahezu gleich, auf der FW#2 laufen auch die HTTP & HTTPs Proxies, Webfilter usw. - die DMZ würde dann über separate VLANs zum TMG weitergeleitet werden. Clients und Server bekommen dann jeweils einen eigenen Adresspool (wir haben 2 x IPv4 Adresse in unterschiedlichen IP Bereichen).

Meine Frage ist nun, ist das so legitim oder gehört man gesteinigt wenn man das so macht?

Über Konstruktive Kritik und Anmerkungen wäre ich sehr dankbar face-smile

Grüße am sonnigen Freitag
@clSchak

PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).

Content-Key: 235989

Url: https://administrator.de/contentid/235989

Printed on: May 23, 2024 at 12:05 o'clock

Member: aqui
aqui Apr 18, 2014 at 09:11:37 (UTC)
Goto Top
Bauchschmerzen macht einem nur die fehlende Redundanz in deinem Design?! Denkbar wäre es ja auch beide Firewalls zu einem Cluster zusammenzufassen und diese dann wenigstens redundant anzubinden an das Interne- und Server LAN. Damit hättest du noch ein Load Balacing des Traffics was den Voice- und Bilddaten dann auch helfen würde. 2 Fliegen also.....
Im Server LAN könntest du dann eine SW Firewall wie Vyatta o.ä. laufen lassen.
Es gibt halt viele Optionen für so ein Design...
Member: clSchak
clSchak Apr 18, 2014 at 15:42:26 (UTC)
Goto Top
Die FW#2 ist ein Active-Passive Cluster, Loadbalancing macht bei uns keinen Sinn, wir haben eine STM1 155Mbit und als Backup eine Kupfer 10Mbit face-wink - das exakte Design (VRRP Router im internen Netz usw) habe ich jetzt nicht mit eingezeichnet, mir geht es lediglich darum, ob man ohne Bauchschmerzen die Clients so in's Internet bringen kann.
Member: Dani
Dani Apr 18, 2014 at 16:23:33 (UTC)
Goto Top
Hallo clSchak,
PS: eine FW zwischen Server- und Client LAN wäre auch möglich, hier muss allerdings kein Hardware Firewall rein (10Gbit Hardware FW sind einfach zu teuer) - da würde ich dann auf ein Softwareprodukt zurückgreifen (müssen).
Auf jeden Fall installieren. Denn über die Clients kommst du ans Servernetz ohne an FW2 vorbei zu müssen. Da kannst du FW2 auch gleich weglassen.
Es hängt auch ein bisschen ab in welchen Bereich dein Unternehmen tätig ist. Was gibt es zu schützen und wie viel sind die Daten wert.


Grüße,
Dani
Member: clSchak
clSchak Apr 22, 2014 updated at 07:31:23 (UTC)
Goto Top
Die FW zwischen Client & Servernetz muss dann auf jeden Fall kommen, dass ist korrekt.

Vyatta gehört ja nun zu Brocade, ich will hoffen das die Software auch weiterhin kostenlos bleibt face-confused - alternativ habe ich mir auch pfense angesehen, aber passen die Hardwareanforderungen?


6-8Mbps
With the typical residential or small office broadband connection of up to 6-8 Mbps you can get by with the minimum requirements.
10-20 Mbps
No less than 266 MHz CPU
21-50 Mbps
No less than 500 MHz CPU
51-200 Mbps
No less than 1.0 GHz CPU
201-500 Mbps
Server class hardware with PCI-X or PCI-e network adapters, or newer desktop hardware with PCI-e network adapters. No less than 2.0 GHz CPU.
501+ Mbps
Server class hardware with PCI-X or PCI-e network adapters. No less than 3.0 GHz CPU.

Da müsste dann ja schon einiges an CPU Leistung kommen, der Schnitt, bei Regelbetrieb, an Belastung Client <-> Server liegt bei 4-5Gb (290 Clients alleine an einem Standort).

Passen die o.g. Angaben was die Leistungsanforderung betreffen? Dann müsste ich ja 2 x Sockel haben wo jeweils ein 6 Kerner á 3Ghz drauf steckt - oder reicht hier auch ein 6C á 3.0Ghz - als Interfaces werden entweder Intel 10Gb SFP+ DP Adapter oder vergleichbares von Broadcom zum Einsatz kommen.
Member: Dani
Dani Apr 22, 2014 at 08:01:46 (UTC)
Goto Top
Moin,
dann hast du aber drei Firewalls zu pflegen... brauchst du eine Abm? Ich würde das alte Design behalten und den TMG entsprechend ersetzen. Das dürfte von Zeit/Geldaufwand am Einfachsten sein.

Wir haben mit den Daten damals auch geplant. Aber statt Broadcom solltest du primär Intel-Karten verwenden. Ich meine es gibt eine Kompatibilitätsliste.


Grüße,
Dani
Member: clSchak
clSchak Apr 22, 2014 at 08:17:04 (UTC)
Goto Top
Stimmt, daran habe ich direkt nicht gedacht, ich kann auch den TMG dort einsetzen, muss halt nur die Hardware ein wenig "aufgerüstet" werden, aber das wird kein Problem sein (ab und an rennt man echt mit der Kirche um's Dorf face-smile )
Member: Dani
Dani Apr 22, 2014 at 10:04:33 (UTC)
Goto Top
Früher oder später wirst du den TMG sowieso ausnehmen müssen. Gerade mit Lync 2013 und und und... bau es zukunftsicher.


Grüße,
Dani