Architekrua firewallu-oddelena podsiet
Architekrua firewallu-oddelena podsiet
Zdravim chcem sa opytat ze aku funkciu plni v nasledujucej architekture (vid. obrazok) Bastion host, resp chcem sa spytat ked prechadzaju pakety z internetu do vnutornej siete tak prechadzaju cez bastiona ? teda idu cez externy router do oddelenej siete potom do bastiona a nakoniec do internej siete ? alebo je to nejako inak, ak bude niekto taky dobry a blizsie mi to opise budem mu vdacny.
- Prílohy
-
- fire2.0604.gif
- (17.15 KiB) 183 stiahnutí
-
TommyHot
Addict
- Príspevky: 3340
- Registrovaný: 25 okt 2009, 0:23
- Bydlisko: Bratislava
- Kontaktovať používateľa:
Re: Architekrua firewallu-oddelena podsiet
Povedal by som, ze v tomto pripade moze sluzit bastion host ako proxy, ktore pusta ludi z vnutornej siete na vonkajsiu, teda do internetu. Ano data tecu cez neho. Toto je jeden z lepsich navrhov siete, ale najdu sa aj taki diletanti, ktori daju bastion rovno na vnutornu siet. Analogicky je to taky isty nezmysel, ako keby navstevnici hotela vkrocia z vestibulu rovno do niekoho izby.
Ale inak bastion moze byt kludne aj web/ftp/dns/hociaky iny server, ktory je pristupny aj vnutra aj z vonka siete. Snad som ti to vysvetlil dostatocne jasne?
Ale inak bastion moze byt kludne aj web/ftp/dns/hociaky iny server, ktory je pristupny aj vnutra aj z vonka siete. Snad som ti to vysvetlil dostatocne jasne?
Re: Architekrua firewallu-oddelena podsiet
Takze ked bastion sluzi ako proxy tak pri kazdej komunikacie z vnutra von prechadzaju pakety cez neho a ked sluzi ako server nejakej sluzby napr ftp tak pakety idu cez neho iba pri volani tejto sluzby ?
-
TommyHot
Addict
- Príspevky: 3340
- Registrovaný: 25 okt 2009, 0:23
- Bydlisko: Bratislava
- Kontaktovať používateľa:
Re: Architekrua firewallu-oddelena podsiet
Nerozumiem tvojej otazke. Kedy inak maju cez bastion tiect packety ked nie pri komunikacii? Tecu cez neho vzdy ked nadviazes spojenie a posielas alebo prijimas data.
Re: Architekrua firewallu-oddelena podsiet
Ok tak nie je to tak napr. ze ked nejaky PC z internej site chce komunikovat s internetom tak proste komunikuje cez oba routery a oddelenu siet priamo s internetom ? ale je to tak ze vzdy pri kazdej komunikacii prechadzaju data cez bastiona nech ide o akykolvek druh sluzby ? resp. chcem vediet ze ci pri komunikacii interneho pc s internetom prechadza komunikacia aj cez bastiona alebo nie
-
TommyHot
Addict
- Príspevky: 3340
- Registrovaný: 25 okt 2009, 0:23
- Bydlisko: Bratislava
- Kontaktovať používateľa:
Re: Architekrua firewallu-oddelena podsiet
Ved podla toho aka sluzba sa tam nachadza:
Povedzme, ze bastion je proxy server. Ak chces spristupnit nejaku sluzbu na internete (precitat si napr maily na gmaily) tak zjednodusene komunikacia vyzera takto, ak neexistuje firemny DNS:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (proxy) -> externy router v DMZ -> DNS server vo vonkajsej sieti -> gmail.com
Ak je bastion ako web server na ktorom bezi firemnastranka.com tak je komunikacia nasledovna (kludne pred DNS moze byt aj proxy):
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (dns) -> bastion v DMZ (web firemnastranka.com)
Ak firma nema vlastny DNS server, tak komunikacia moze vyzerat nasledovne:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (proxy) -> externy router v DMZ -> DNS server vo vonkajsej sieti -> bastion v DMZ (web firemnastranka.com)
Ak ide povedzme o FTP, tak pre ludi z vnutornej siete:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (ftp)
a z vonkajsej:
klient vo vonkajsej sieti -> externy router v DMZ -> bastion v DMZ (ftp)
No a kludne sa moze siet postavit tak, ze z internej sa pojde von len cez routre. To uz vsetko zalezi na architekture siete, ale osobne si myslim, ze proxy by mala byt nutnostou pre pristup z vnutornej siete do internetu a vice versa.
Povedzme, ze bastion je proxy server. Ak chces spristupnit nejaku sluzbu na internete (precitat si napr maily na gmaily) tak zjednodusene komunikacia vyzera takto, ak neexistuje firemny DNS:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (proxy) -> externy router v DMZ -> DNS server vo vonkajsej sieti -> gmail.com
Ak je bastion ako web server na ktorom bezi firemnastranka.com tak je komunikacia nasledovna (kludne pred DNS moze byt aj proxy):
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (dns) -> bastion v DMZ (web firemnastranka.com)
Ak firma nema vlastny DNS server, tak komunikacia moze vyzerat nasledovne:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (proxy) -> externy router v DMZ -> DNS server vo vonkajsej sieti -> bastion v DMZ (web firemnastranka.com)
Ak ide povedzme o FTP, tak pre ludi z vnutornej siete:
klient v internej sieti -> interny router v DMZ -> bastion v DMZ (ftp)
a z vonkajsej:
klient vo vonkajsej sieti -> externy router v DMZ -> bastion v DMZ (ftp)
No a kludne sa moze siet postavit tak, ze z internej sa pojde von len cez routre. To uz vsetko zalezi na architekture siete, ale osobne si myslim, ze proxy by mala byt nutnostou pre pristup z vnutornej siete do internetu a vice versa.
Re: Architekrua firewallu-oddelena podsiet
ok takze pochopil som to tak ze pri kazdeom druhe sluzby ktoru si opisal prechadza komunikacia cez bastiona hej? teda ked je bastion pouzity v tej architekture tak vzdy prechadza komunikacia cez neho. Aby som to vsetko vlastne odovodnil modelujem tento model architektury pomocou petriho sieti a potrebujem vediet ze ked komunikuje interne PC s internetom tak paket co je v nasom pripade token cez ktore subjekty prechadza.
-
TommyHot
Addict
- Príspevky: 3340
- Registrovaný: 25 okt 2009, 0:23
- Bydlisko: Bratislava
- Kontaktovať používateľa:
Re: Architekrua firewallu-oddelena podsiet
Pri kazdom druhu sluzby, ktory som opisal je v prvom rade samotna sluzba bastion a teda ak idem na ftp (bastion), tak je logicke, ze data tecu cez bastion. Podstatne vsak je kolko bastionov je v sieti a hlavne ci komunikujem v ramci DMZ a vnutornej siete, alebo chcem ist aj na vonkajsiu siet. Ak chcem ist na vonkajsiu siet, tak bastion by mal byt v prvom rade proxy cez ktory tece vsetko, takze v tvojom pripade budes modelovat to, ze data tecu zarucene cez router, Proxy (bastion) a pripadne cez vlastny DNS (bastion), dalsi router az na vonkajsiu siet. Ale neviem ti povedat ako je to s bastion hostom v pripade token ringu.
Ale je pravda, ze to pisem ako debil a niekto iny by ti to mozno vedel vysvetlit zrozumitelnejsie
Ale je pravda, ze to pisem ako debil a niekto iny by ti to mozno vedel vysvetlit zrozumitelnejsie
Re: Architekrua firewallu-oddelena podsiet
to nevadi , ja budem modelovat klasicku siet, vlastne presne taku ako je na tom obrazku a teda bastion bude mat funkciu proxy a vlastne bude moct sledovat celu komunikaciu z vnutornej siete do vonkajsej, a dakujem ze si aspon odpisal , dik