|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 - Как защитить доступ в Интернет средствами Windows, если сервер в домене |
|
|
2008 - Как защитить доступ в Интернет средствами Windows, если сервер в домене
|
Старожил Сообщения: 383 |
В домене единственный контроллер на W2K8 Ent x64, обеспечивающий также общий доступ к Интернету с помощью RRAS через NAT.
Задача - защитить сервер и локальную сеть от вторжений из Интернета, обмен сервера с локальной сетью не ограничивать. В 2K3 я не включал бы Windows Firewall, а на RRAS в NAT включил бы Basic Firewall для интернет-интерфейсов. В 2K8 Basic Firewall из RRAS был убран, Windows Firewall нельзя отключить для конкретного интерфейса, а активным может быть только один профиль, в моем случае - доменная сеть (domain profile), и все правила профиля применяются ко всем интерфейсам. Иного варианта, кроме как в профиле отредактировать те правила для входящего трафика, по которым хочу разрешить обмен только с локальной сетью, прописав в них IP-адреса, с которых разрешены подключения (например, 10.0.0.0/24) и использовать RRAS-фильтры для защиты локальной сети, не вижу. Получается гораздо сложнее, чем в w2k3, а такого быть не должно, т.к. это более новая ОС и, как правило, у новых версий всё проще и лучше. Какие более оптимальные варианты решения задачи ещё есть? P.S. ISA Server 2006 не предлагать, он не ставится на Windows Server 2008  Kerio Winroute Firewall также не подходит: в нём нет поддержки IPv6, он мне нужен Также интересны варианты другого ПО для маршрутизации и/или защиты |
|
|
Отправлено: 07:59, 15-03-2009 |
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать TMG Beta 2
|
|
------- Отправлено: 12:27, 15-03-2009 | #2 |
|
Старожил Сообщения: 383
|
Профиль | Сайт | Отправить PM | Цитировать Что-то меня Ваш смайл смущает. О чем он нам говорит?
Пока Beta, ставить в эксплуатацию не буду. |
|
Отправлено: 16:47, 15-03-2009 | #3 |
|
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Isotonic:
Цитата Isotonic:
|
||
|
------- Отправлено: 09:35, 16-03-2009 | #4 |
|
Старожил Сообщения: 383
|
Профиль | Сайт | Отправить PM | Цитировать Речь не о способах обхода, а о способах правильного решения задачи. В первую очередь, средствами Windows. Server 2008 - не детская игрушка, а серьезный серверный продукт уровня enterprise. В нём есть firewall, есть router - этого достаточно для базового уровня защиты. Только вот я не уверен, что предложенный мною вариант их настройки вместе самый оптимальный, в первую очередь из-за неоходимости правки множества правил.
Большое спасибо за то, что обратили моё внимание на TMG. ISA для W2K8 . Пока не хочется с ней связываться, потому что она стоит денег, в ней надо будет долго разбираться и не факт, что у меня получится её удалить (не везет мне при удалении экземпляров SQL...) |
|
|
Отправлено: 19:06, 17-03-2009 | #5 |
Пользователь Сообщения: 105
|
Профиль | Сайт | Отправить PM | Цитировать Isotonic, Forefront Threat Management Gateway Версия: 6.0.6417.100 MBE, работает с 14-го декабря, именно на w2k8, особых проблем не наблюдается, хотя перед установкой сделай бекап системы, всё-таки beta
|
|
------- Отправлено: 07:52, 18-03-2009 | #6 |
|
Старожил Сообщения: 383
|
Профиль | Сайт | Отправить PM | Цитировать Да верю я вам, верю
Мне не хочется вообще всё усложнять, т.к. ещё убежден, что всё можно решить средствами Windows и забыть. |
|
Отправлено: 22:35, 19-03-2009 | #7 |
|
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать Security Configuration Wizard + Security Templates Вам в помощь
|
|
------- Отправлено: 00:39, 23-03-2009 | #8 |
|
Старожил Сообщения: 383
|
Профиль | Сайт | Отправить PM | Цитировать Oleg Krylov, пожалуйста, дайте более детальный ответ в стиле "How to ..."
На свой пост в Вашем стиле я бы мог ответить "RRAS и Windows Firewall Вам в помощь". Мне мало просто знать название инструментов. |
|
Отправлено: 01:48, 23-03-2009 | #9 |
|
Добрый волшебник Сообщения: 2125
|
Профиль | Сайт | Отправить PM | Цитировать Хорошо, но только вечером. Времени в обрез. Вы приведите типичные Интернет-задачи для Вашей компании. Т.е. куда и по каким протоколам нужно будет иметь доступ серверу в Интернет, и откуда и по каким протоколам нужен доступ извне. Можно в PM.
|
|
------- Отправлено: 17:16, 23-03-2009 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Доступ - [решено] Запретить доступ в интернет приложениям (встроенными средствами Windows) | kapa-ripe | Microsoft Windows Vista | 4 | 27-06-2009 20:35 | |
| ограничение/разграничение доступа к интернет средствами Windows 2003 Server | Moonlight Dragon | Microsoft Windows NT/2000/2003 | 19 | 29-07-2008 10:22 | |
| Dial-Up - общий доступ в интернет средствами Windows | Demones | Сетевые технологии | 7 | 18-04-2008 03:27 | |
| Бэкап документов с рабочих мест на сервер средствами Windows 2003 | Mystic | Microsoft Windows NT/2000/2003 | 11 | 15-11-2007 13:07 | |
| Общий доступ в Интернет (как настроить в домене?) | Dim | Сетевые технологии | 1 | 27-06-2005 08:40 | |
|
|
Время: 08:43. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
