Router für Webserver

[kris9k]

Hallo, ein Bekannter möchte sich einen Server kaufen und darauf soll dann als OS der 2008R2 laufen. IIS für den Webserver und SQL Server für Datenbanken.

Als Router möchte er Cisco Hardware verwenden. Das ganze soll sehr gut abgesichert sein.

Was für Modelle würdet ihr empfehlen? 2911er ?

Internet Anbindung wäre SDSL
Router Konfiguration stellt kein Problem dar
NAT verwenden oder öffentliche IP für den Webserver?


tjarr, wie würdet ihr das lösen?

mfg kris9k

 

[Seratio]

Hi,

zunächst erstmal zum Router. Warum so eine riesen Möhre? Ein Router der 800er Serie wirds für einen Server auch mehr als tun und kostet dabei nicht mal die Hälfte. Hätte zwar den Nachteil, dass der Server nur via 100Mbit angeschlossen ist, aber SDSL gibt es meines Wissens nach eh nicht größer. Zumal ein Webserver, sofern er dynamische Webseiten, ehr Leistungstechnisch am Ende ist, bevor ihm die 100Mbit ausgehen.

Als Router möchte er Cisco Hardware verwenden. Das ganze soll sehr gut abgesichert sein.

Das hört sich so an, als wären nur Cisco Router sicher. Aber mit entsprechender Konfig ist eine Linux Büchse mindestens genauso sicher, wie ein Cisco. Und wenn die Cisco konfig verkackt wird, dann ist auch mist

Ob NAT ja oder nein, ist wohl ehr ne Glaubensfrage. Sofern nur eine externe IP vorhanden ist, würde ich NAT nutzen, da du dann z.B. den Router noch als VPN Endpunkt nutzen kannst. Den Webserver kannst du ja dann via Portforwarding erreichbar machen. Wenn der Server auch noch im LAN erreichbar sein soll, und keine 2 NIC vorhanden ist, dann spricht das fürs NAT, da die interne IP für alles verwendet werden kann.

Wenn mehrere IPs vorhanden sind, würde ich dem Webserver vermutlich eine eigene externe IP geben. Das macht jedenfalls die Konfiguration des Routers einfacher und übersichtlicher.

Gruß
Alex

 

[PitGST]

Cisco 876 reichen locker dafür aus.

 

[kris9k]

ok vielen dank, habe wohl eine zwei nummer zu groß angesetzt...

linux konfig da würde es scheitern ;-)

falls noch fragen auftauchen poste ichs hier rein...

THX, mfg kris9k

 

[0711]

erwartest du/er ernsthaft von dem router nur weil cisco draufsteht mehr Sicherheit als von anderen? Ausser dem höheren preis musst du da nicht unbedingt mehr erwarten....wenn du einen webserver absichern willst musst du eine web application Firewall, reverseproxy o.ä. zwischen Internet und dem webserver packen, vor der anwendungsfirewall machts auch n relativ einfacher router der vom Hersteller gepflegt wird.

watchguard firebox, zywal, fortigate o.ä. ...ist das wonach du schauen solltest und ist preislich locker mit router+firewalllösung unter nem 2911er zu machen. Eine cisco ace wird wohl "etwas" oversized sein ist zudem nicht wirklich besser als alternativen in dem preissegment wo sich das bewegt, wenn es cisco sein muss kann ich in dem preisbereich auch nichts nennen.

Vor alle dem kannst du aber nach dem härten von iis schauen, was es zu beachten gilt usw. (aber generell stellt sich die frage warum dann nicht gleich 2012 wenn auf Sicherheit so großen wert gelegt wird, der 7.5 ist zwar robust aber es gibt beim 8er eben feine neue Features auch in Sachen Sicherheit)

nat nicht nat sehe ich nicht als Glaubensfrage, will man den webserver/das System selbst schützen wird die Verbindung vor dem zu schützenden System terminiert, fertig

 

[kris9k]

ne so war das nicht gemeint bzgl sicherheit, den cisco router können wir halt über die cli konfigurieren. dachte u.a. an nat und access lists.

watchguard firebox, zywal, fortigate o.ä.

danke für die tipps, werde mir das mal anschauen. was würdet ihr von einer endian sw firewall halten?

es kann natürlich auch ein 2012er darauf laufen, das wäre kein problem.