Webserver abschotten - Netz/Netz Router

[ToBo]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo Foristi,

Eigentlich passt dieser Thread nicht in den Simatic Bereich, aber einen
passenderen hab ich nicht gefunden.

Möchte eine Webserver aufstellen um unseren Kunden diverse Daten
zur Verfügung zu stellen. Dafür hab ich einen extra DSL Zugang mit einer
statischen IP Adresse. Daran kommt direkt der Webserver, welcher
erst mal nicht mit dem Firmennetz verbunden ist und dadurch keine Möglichkeit von aussen einzudringen bietet.

Den Webserver werde ich im Adressbereich 192.168.x.x legen. Das Firmennetz, welches ebenfalls über diverse VPN Verbindungen mit anderen Zweigstellen verbunden ist liegt im Bereich 10.0.0.0

Jetzt möchte ich aber die Möglichkeit einrichten vom Firmennetzt auf den Webserver zugreifen zu können, aber NICHT in der Gegenrichtung. Grund ist ganz einfach. Eine Automatik soll Intervallweise Daten auf den Webserver kopieren.

Meiner Meinung nach bräuchte ich einen Router der zwei Ethernetnetzwerke verbinden kann und in dem ich nur eine Route von Firmennetz nach Webservernetz einrichte. Da das im Webserver hinterlegte Gateway auf den DSL Zugang des Webserver eingestellt ist und keine Route über den internen Netz/Netz Gateway sollte dies sicher sein um Angriffe vom Webserver auf keinen Fall aufs andere Firmennetz durchzulassen.

Jemand eine Ahnung ob ich richtig liege und welchen Router ich dazu brauche ?

Gruss

ToBo

 

[Thomas_v2.1]

So ganz verstanden wie das Netzwerk da aussehen soll habe ich von der Beschreibung zwar noch nicht. Vielleicht kannst du ja mal eine Skizze machen?
Ansonsten hört sich das so an als ob eine DMZ das Mittel der Wahl ist. Dafür brauchst du dann zwei Router:

http://de.wikipedia.org/wiki/Demilitarized_Zone

Du musst dann aber prüfen, ob sich die Konfiguration dann nicht mit den VPN-Verbindungen die nebenher laufen beißt.

 

[ToBo]

Zuviel Werbung?
-> Hier kostenlos registrieren

Yep, genau sowas möchte ich aufbauen.

Der Webserver ist ein eigenes Netz und vom anderen Netz getrennt. Verkehr darf es nur in Richtung zum Webservernetz geben und nicht andersrum

http://upload.wikimedia.org/wikipedia/de/3/33/DmzSchema.png

Denke mal Bild 2 ist das was ich mir vorstelle.

Probleme mit dem VPN stelle ich mir nicht vor, da ebenfall aus dem
Firmennetz nur ein Rechner die Aufgabe hat die Daten auf den
Webserver zu kopieren und dieser nicht auf die anderen VPN Netze
zugreifen muss.

 

[Gerhard Bäurle]

Jemand eine Ahnung ob ich richtig liege und welchen Router ich dazu brauche ?

Hallo,

am einfachsten wäre es wohl, einen Router zu nehmen, wie er
auch in den Zweigstellen steht. Dort ist die Firewall (vermutlich)
auf nur ausgehende Verbindungen parametriert. Beim Deinem
Webserver wäre es dann umgekehrt, hier würdest Du nur
eingehende Verbindungen zulassen.

Oder habe ich etas übersehen?

 

[JoeJo]

Hallo,
einfach eine zweite Netzwerkkarte in den Webserver einbauen und diese dann mit dem Firmennetz verbinden. In der Registrierung von Windows kann man eine Einstellung vornehmen damit die beiden Netzwerke getrennt bleiben. Wir hatten einen ähnlichen Fall und unser Admin hatte das ganze dann durchgeführt. Leider ist das ganze ein paar Jahre und in der Zwischenzeit habe ich die Firma verlassen, daher kann ich Dir über die Einstellungen keinen Hinweis mehr geben.
Gruß
Joe

 

[Gerhard Bäurle]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,
einfach eine zweite Netzwerkkarte in den Webserver einbauen und diese dann mit dem Firmennetz verbinden. In der Registrierung von Windows kann man eine Einstellung vornehmen damit die beiden Netzwerke getrennt bleiben. ...

Hallo,

ich würde aber nicht empfehlen, sich ganz alleien auf die
Einstellungen von Windows zu verlassen. Eine Hardware-
Firewall gehört m. E. auf jeden Fall dazwischen.

 

[ToBo]

Eine Hardware-Firewall gehört m. E. auf jeden Fall dazwischen.

So sehe ich das auch.