我们目前正在组建自己的服务器防火墙/路由器。我们是我们将使用 Juniper 或 Watchguard 等公司提供的专用解决方案,但如果我们使用已经计划好的服务器机器,那么成本效益会更高。
关于我们:我们是一个网站,将在防火墙/路由器服务器后面拥有两台服务器(一台 Web 服务器和一台数据库服务器)。所有三台服务器都将运行Windows Server 2008 R2请参阅第 64 页的“安装”。
请原谅我的图表粗糙(我知道它在技术上并不正确,但希望它能让我们的拓扑结构更清晰一些)...
#1 路由
我们正在使用 RRAS 配置路由。目前,这配置为让我们的 Web 应用服务器能够访问互联网(通过 RRAS 的 NAT),但我需要设置端口转发,以便任何对端口 80 的请求都直接发送到 Web 应用服务器。
2.防火墙
Windows 高级防火墙能否令人满意地完成我们所需的工作?(我想答案是肯定的。)
#3 VPN
到目前为止,设置 VPN 一直很麻烦(证书很烦人!)。我看到的每个教程似乎都在他们的 VPN 机器上运行 DNS 和 DHCP 角色……这是为什么?它们都是必需的吗?还是我可以将它们丢弃?
全面的
还有其他关于如何根据我们的需要配置该服务器的提示吗?
谢谢您的任何建议。如果这个问题问得不好,我很抱歉!(至少有赏金 :)
答案1
您可以将 RRAS 用于防火墙、NAT 和 VPN,因此,您可以为 Windows Server 2008 防火墙提供一个公共 IP 地址,让它路由所有内部网络的流量并将特定端口 (fe 80) 转发到内部服务器,还可以让它充当 VPN 服务器 (PPTP 和/或 L2TP)。RRAS 自 Windows 2000 以来就一直存在,而且它的工作相当出色简单设置。
它不是完整的防火墙/代理解决方案;你不能定义细粒度的策略,它没有进行任何 Web 代理(无论是直接代理还是反向代理),不能在应用程序级别过滤流量,并且没有记录网络流量以供进一步分析。
简而言之:是的,RRAS 可以做任何您需要的事情,简单而又有些粗糙;但它并不是像 ISA 或 TMG 那样的全面的网络访问和安全解决方案。
答案2
大约一小时前我刚刚设置了类似的东西。Windows Server 2008 R2 是适合您所做工作的完全可行的解决方案。
我同意目前关于使用 ISA 作为防火墙的评论。Windows 防火墙可以工作,但它非常基础,没有任何 IDS 或过滤功能。如果可以的话,ISA 是最佳选择,否则 Windows 防火墙作为垫脚石也可以。
对于您的 VPN,DNS 和 DHCP 不需要与 RRAS 位于同一台服务器上。DNS 可以位于任何地方,而 DHCP 只需位于内部子网中。
对于您的内部 IP,它们可以源自防火墙/路由器服务器,因此图表中左上角的线实际上是绿线内的一条线。使用 VPN 连接到将分配内部 IP 的防火墙/路由器/VPN 服务器。
对于数据库服务器,只需为其提供一个内部 IP,并且只能从内部访问。
在路由器服务器的内部 NIC 上,分配一个 xxx1(即 10.0.0.1)IP,并将其用作 Web 服务器上的内部 NIC 和数据库服务器的网关。这将为您提供内部网络和路由。
此外,如果您安装了 RD 网关服务器,您也可以从网络外部通过 RDP 连接到您的内部计算机。
答案3
如果您打算使用 Server2008 作为防火墙,那么您可能需要考虑使用 ISA。
答案4
我们在 Windows 服务器上使用 Kerio Winroute 防火墙。它根本不支持反向代理,但对于其他所有功能,它都得到了很好的支持。我们已经使用它 8/9 年了,使用过各种版本,目前它非常好。它也比 ISA 便宜,配置起来也容易得多。
至于反向代理,我们目前还不需要它,但如果您需要的话,我们很想知道您最后会做什么。到目前为止,我们已经解决了这个问题,因为我们有一组 IP 地址,因此只需将它们映射到不同的内部服务器即可。
如果您需要任何配置方面的帮助,请告诉我。