Помогите собрать сервер для маршрутизации / брандмауэра / VPN

Вы можете использовать RRAS для брандмауэра, NAT и VPN, так что да, вы можете дать один общедоступный IP-адрес брандмауэру Windows Server 2008, и он будет маршрутизировать трафик для всей вашей внутренней сети и перенаправлять определенные порты (например, 80) на вашу внутреннюю серверов, и вы также можете настроить его как VPN-сервер (PPTP и / или L2TP). RRAS существует с Windows 2000 и довольно хорошо выполняет свою работу. для простых настроек.

Это не тем не менее, полный брандмауэр / прокси-сервер; ты не могу определить детализированные политики, это не выполнять любое веб-проксирование (прямое или обратное), не могу фильтровать трафик на уровне приложений и не регистрировать сетевой трафик для дальнейшего анализа.

Вкратце: да, RRAS может делать все, что вам нужно, просто и несколько грубо; но это не полноценное решение для доступа к сети и безопасности, как ISA или TMG.

Примерно час назад я установил нечто похожее. Windows Server 2008 R2 - это полностью жизнеспособное решение для того, что вы делаете.

Я согласен с комментариями об использовании ISA для брандмауэра. Брандмауэр Windows может работать, но он довольно простой и не имеет IDS или фильтрации. ISA - это то, что вам нужно, в противном случае брандмауэр Windows может стать ступенькой.

Для вашей VPN нет, DNS и DHCP не обязательно должны находиться на том же сервере, что и RRAS. DNS может быть где угодно, а DHCP просто должен находиться во внутренней подсети.

Для ваших внутренних IP-адресов они могут исходить от сервера брандмауэра / маршрутизатора, поэтому верхняя левая линия на диаграмме действительно является линией внутри зеленой линии. Используйте VPN для подключения к брандмауэру / маршрутизатору / vpn-серверу, который назначит внутренний IP-адрес.

Для сервера базы данных просто дайте ему внутренний IP-адрес, и он будет доступен только изнутри.

На внутреннем сетевом адаптере сервера маршрутизатора назначьте IP-адрес x.x.x.1 (т.е. 10.0.0.1) и используйте его в качестве шлюза для вашего внутреннего сетевого адаптера на веб-сервере и для сервера базы данных. Это даст вам внутреннюю сеть и маршрутизацию.

Кроме того, если вы устанавливаете сервер шлюза удаленных рабочих столов, вы также можете подключаться по протоколу RDP к своему внутреннему компьютеру извне сети.

Честно говоря, почему бы не выбрать маршрутизатор для малого бизнеса среднего и нижнего уровня от Linksys. Я использую RV042 именно в этой настройке. У меня есть один IP-адрес, который перенаправляется на веб-сервер (с использованием NAT) на 80 и 443, а маршрутизатор также является VPN-сервером, использующим только клиент Windows VPN. Это около 200 долларов, тогда ваш сервер фактически физически удален из Интернета, если что-то на программном брандмауэре сервера будет случайно отключено, оно не будет оставаться открытым в Интернете.

Если вы настроили использовать сервер Server2008 в качестве брандмауэра, вы можете рассмотреть возможность использования ISA.

Мы используем Kerio Winroute Firewall на наших серверах Windows. Он вообще не выполняет обратный прокси, но, что касается всего остального, он довольно хорошо поддерживается функциями. Мы используем его 8/9 лет в различных версиях, и в настоящее время он очень хорош. Он также дешевле ISA и намного проще в настройке.

Что касается обратного прокси-сервера, нам он пока не нужен, но было бы интересно узнать, что вы делаете в конечном итоге, если вам нужно. Мы до сих пор обходились этим, поскольку у нас есть блок IP-адресов, поэтому просто сопоставьте их с разными внутренними серверами.

Дайте мне знать, если вам вообще понадобится помощь с его настройкой.

1) О маршрутизации Да, все это можно просто перенаправить на ваш IIS с помощью RRAS, вам нужно только настроить правильные записи DNS A и сделать несколько щелчков мышью в оснастке RRAS, а также вам необходимо настроить IIS, чтобы догнать правильные заголовки и порты .
2) Можно работать без брандмауэра, но это, конечно, снизит безопасность. Можно установить простой межсетевой экран на базе FreeBSD, Linux или чего-либо еще, или простой аппаратный межсетевой экран.
3) Windows 2008 предлагает отличный SSTP, помимо PPTP и L2TP, туннели VPN, которые не зависят от протокола GRE и работают везде. Но действительно ли вам нужны VPN-туннели? Server 2008 также предлагает замечательную функцию TS RemoteApp, которая более безопасна, поскольку не предлагает полный доступ к сети сервера, а только к определенному приложению.
Планируете ли вы, что сервер также будет размещать внутренние веб-ресурсы?

У меня была аналогичная проблема. Один джентльмен на этом форуме порекомендовал мне использовать Шлюз безопасности Astaro.

Я взял их бесплатную домашнюю лицензию и некоторое время поиграл с программой. К концу дня (а точнее ночи) я смог настроить компьютер Pentium 4 так, чтобы он действовал как успешный межсетевой экран и заменял два отдельных маршрутизатора.

Теперь я запускаю веб-сервер, который обслуживает два IP-адреса в глобальной сети (с балансировкой нагрузки восходящего канала), а внутренний трафик перенаправляется на локальный IP-адрес сервера без использования Интернета.

Преимущество Astaro в том, что у вас есть детальный контроль над каждым перемещением пакетов в вашей сети. Возможно, вам придется сначала попробовать.

Вы не сказали, на какую платформу смотрите, поэтому я рекомендую m0n0wall.

Это комплексная переработка FreeBSD для использования в качестве межсетевого экрана / маршрутизатора и т. Д.

РЕДАКТИРОВАТЬ
обновление на основе комментариев от Django, я думал, что серверы Win2k8 должны быть ПОЗАДИ брандмауэр, не на который УСТАНОВИТЬ брандмауэр

С участием который в этом случае моя первоначальная рекомендация m0n0wall не имеет смысла :)

Но если вы передумаете, может все еще :)