[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [lugbe] Linux Firewall
> > Cisco Router
> > ---- ------ -------
> > +--| |----| FW |------| IDS |---| Webserver 1..6, Mailserver,
> > | ---- ------ -------
> > | FW/iptables snort
> > |
> > + 2 MBit Standleitung zum Provider
>ich wuerde das ganze ein wenig anders machen:
-------
> -----| IDS |------
> | ------- |
> | |
> ------------- | ---------- |
> +--| Cisco / ACL |----------| FW / NAT |------------+
> | ------------- DMZ ---------- PRIVATE NET
> |
> |
> |
> + 2 MBit Standleitung zum Provider
Hier fehlt eigentlich noch der Webserver etc.. . Ich gehe davon aus dass er in der DMZ steht. Somit wäre es möglich mit dem IDS mit zwei Interfaces sowohl vor als auch nach der Firewall zu wirken. Bzw. es ist auch denkbar das IDS mit einem Bein in der DMZ und mit dem andern im Privat Net zu haben. Dabei sollte auf dem Cisco bereits eine anständige Anti Spoofing Poclicy und gewisse Filter gesetzt werden.
-------
-----| IDS |------
| ------- |
| |
------------- | ---------- |
+--| Cisco / ACL |----------| FW / NAT |------------+
| ------------- ---------- PRIVATE NET
| ¦
| DMZ
| |
| ----------
| | Webserver¦
| ----------
|
+ 2 MBit Standleitung zum Provider
Mit freundlichen Grüssen
Gion Manetsch