Правильная публикация серверов через UTM

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Правильная публикация серверов через UTM

Сообщение Азиз Абдуназаров » 16 май 2019, 16:01

Здравствуйте уважаемые господа!
Возникла необходимость в публикации ряда серверов в "Мир", отсюда, если разрешите, несколько вопросов:

1) Насколько правильна нижеприведённая схема? Насколько она оправдана с точки зрения безопасности?
2) Провайдер выдаёт несколько белых IP адресов средствами PPoE. Возможно ли их использовать и маршрутизировать в соответствии со схемой средствами UTM?
3) Хватит ли производительности UTM для нормальной маршрутизации значительного, в моём представлении, трафика - 50-60 Мбит чувствительного к пингам трафика (сервер видеоконференции, "файловое облако", почтовый сервер и т.п.)?

Заранее благодарен всем за помощь в решении данной задачи!
Вложения
Untitled Diagram.jpg
Предлагаемая схема публикации серверов и доступа к сети Интернет.
Untitled Diagram.jpg (62.95 КБ) Просмотров: 259
Азиз Абдуназаров
Пользователь
 
Сообщения: 46
Зарегистрирован: 26 окт 2018, 10:07

Re: Правильная публикация серверов через UTM

Сообщение ideco.dmitriy » 17 май 2019, 10:28

Добрый день!

В целом схема рабочая. Но для веб-сервисов и почтового сервера я бы не рекомендовал публиковать белые IP-адреса так напрямую.
Сам способ описан в документации: https://doc.ideco.ru/pages/viewpage.act ... Id=1278151

Но для веб-серверов рекомендуется использовать обратный прокси-сервер: https://doc.ideco.ru/pages/viewpage.act ... Id=4981432 (так гораздо безопаснее).
А для почтового сервера - почтовый релей: https://doc.ideco.ru/pages/viewpage.act ... Id=1278147

Производительности UTM для такой публикации должно хватить. Но она может существенно зависеть от аппаратной платформы. Загрузку сервера можно контролировать по графикам загрузки в разделе "Мониторинг".
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2052
Зарегистрирован: 11 мар 2014, 08:43

Re: Правильная публикация серверов через UTM

Сообщение Азиз Абдуназаров » 18 май 2019, 08:56

Здравствуйте Дмитрий! Прежде, спасибо за ответ и Вашу помощь!

По всей видимости, у меня ситуация из подраздела "Ситуация №4" документации: https://doc.ideco.ru/pages/viewpage.action?pageId=1278151.
Единственно, вероятно там опечатка? "настроить ProxyArp на диапазон адресов 223.123.123.xx", т.к. в этом примере адреса сети 223.123.123.xx более не используются.

При публикации веб-ресурсов в локальной сети с помощью обратного прокси, насколько желательно сервера с этими ресурсами выделять в отдельную зону (DMZ)?

P.S. Собственно, по вопросам, пока многое мне не понятно, но для более конкретных вопросов, надо всё же приступить к реализации всего этого на практике.
Азиз Абдуназаров
Пользователь
 
Сообщения: 46
Зарегистрирован: 26 окт 2018, 10:07

Re: Правильная публикация серверов через UTM

Сообщение ideco.dmitriy » 20 май 2019, 09:01

Если вы публикуете ресурс через обратный прокси, выделять его в DMZ не обязательно.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2052
Зарегистрирован: 11 мар 2014, 08:43

Re: Правильная публикация серверов через UTM

Сообщение Филл » 14 июл 2019, 11:17

А как быть с веб на 8080 порту?
Его публиковать через портмаппинг (DNAT) в файрволе.
Филл
Пользователь
 
Сообщения: 16
Зарегистрирован: 28 май 2019, 17:53

Re: Правильная публикация серверов через UTM

Сообщение ideco.dmitriy » 14 июл 2019, 20:52

Добрый день!
Да, для 8080 необходимо создать DNAT правило. Проконтролируйте, что включена система предотвращения вторжений, она защитит ваш сервис на любом порту.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2052
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron