Bloquear portas numa LAN

Originally posted by kazuza
Não puxem por mim ...

Senão, diria que se pretendem ter um webserver (ou qualquer outro serviço para fora), teriam que fazer algo assim...

schemma.jpg
Clicar para expandir...

para quê as outras 2 firewalls ...?

basta pendurares a extranet na única firewall assim como toda a intranet, não é necessidade de mais nenhuma firewall.
Funciona como se fosse mais uma DMZ, mas com maiores privilégios.

Já agora, isso não é uma firewall, mas uma gateway, que por acaso também faz de firewall.
 
Para quê 3 firewalls nesse esquema? Não faz sentido

ainda para mais, para a extranet e utilizando um serviço publico prestado por um operador nacional, poderás ter a WAN num canal privado só para o cliente, não interferindo com comunicações de outros clientes...

Dada à escabilidade e possibilidade de expansão das firewalls profissionais, poderás ver vários canais com diferentes protecções, portas e protocolos de comunicação configurados para cada interface de rede existente.

Já que o equipamento é caro, há que aproveitar, certo?

A segunda e a terceira firewall estão a mais neste esquema e a Extranet deverá estar conectada directamente ao router e não à rede externa.
 
Ai faz sentido faz ....

O Tafinho tem razão no que diz, eu é que me esqueci de evidenciar: a primeira firewall age também como gateway.

Agora, a 2ª firewall faz uma filtragem mais "fina" à intranet e a 3ª separa fisicamente a intranet da extranet (porque carga de água, haviam, por exemplo, fornecedores, associados e parceiros aceder à vossa intranet? - Cuidado ;) ) ...

Extranet - Rede segura estabelecida através da internet, para acessos condicionados a recursos da intranet (parceiros, agentes, fornecedores, etc ... )

SMTP - Simple Mail Transport protocol - o protocolo usado em envio de e-mails

NAT - Network Address Translation - Configuração em que vários computadores duma rede local conseguem aceder à internet usando um único IP público (últimamente complementado com PAT)

Port Forwarding - Como o seu nome indica, faz o routeamento (translação, para quem me entende), de portas dum IP público (ou whatever) , para um IP específico dentro da rede local... Mais conhecido na sua forma mais simples, como PAT ;)
 
Originally posted by kazuza
O Tafinho tem razão no que diz, eu é que me esqueci de evidenciar: a primeira firewall age também como gateway.

Agora, a 2ª firewall faz uma filtragem mais "fina" à intranet e a 3ª separa fisicamente a intranet da extranet (porque carga de água, haviam, por exemplo, fornecedores, associados e parceiros aceder à vossa intranet? - Cuidado ;) ) ...
Clicar para expandir...

Mas nada te impede que a gateway não seja a firewall, até é aconcelhado por uma razão simples. Se a gateway for comprometida, tu vais confiar em todo o tráfego vindo dela, o que não deveria acontecer.

A arquitectura ideal seria mesmo só com a gateway/firewall e 2 DMZ.

E nada te impede de meter a extranet na 2ª DMZ, até a torna bastante mais segura. Até porque cria um ponto único de entrada na rede, o que é bastante mais facil de monitorizar.
 
Originally posted by kazuza
Justamente por ter a 2ª firewall, é que se a gateway for comprometida, tenho a certeza que não me entram na intranet ...
Clicar para expandir...

Então estás a meter 2 firewalls apenas para redundância...?
É um bocado para o inútil, em pricípio se um atacante consegue entrar numa, também entra na outra. por outro lado isso significa que nesse caso a 1º não está lá a fazer nada.

Por último, a 3ª então é que não faz mesmo falta nenhuma.
 
Convém que as firewalls 1 e 2 sejam diferentes, tanto em implementação, como em topologia...

A firewall 3 , não é desnecessária, porque em meio empresarial, a ligação à internet que se usa em intranets/extranets (principalmente extranets) não é a mesma que se usa nos servidores...
 
Originally posted by kazuza
Convém que as firewalls 1 e 2 sejam diferentes, tanto em implementação, como em topologia...

A firewall 3 , não é desnecessária, porque em meio empresarial, a ligação à internet que se usa em intranets/extranets (principalmente extranets) não é a mesma que se usa nos servidores...
Clicar para expandir...

OU seja, usas a 2ª como redundância...? Não é comum, mas funciona.

Quanto à 3ª, o que dizes é assim, mas não é com essa topologia. é com uma topologia de 3 camadas.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo