帮助建立一个用于路由/防火墙/VPN 目的的服务器
Dja*_*rdt 5 windows-server-2008 routing web-server architecture
我们目前正在组装我们自己的服务器防火墙/路由器。我们都将使用来自一个像瞻博网络或Watchguard的专用解决方案,但它会是一个很大更具成本效益的,如果我们使用,我们计划已经获得服务器的机器,来代替。
关于我们:我们是一个网站,在防火墙/路由器服务器(一个 Web 服务器和一个数据库服务器)后面有两台服务器。所有三台服务器都将运行Windows Server 2008 R2 x64。
请原谅我的图表的粗鲁(我知道它甚至在技术上还没有接近正确,但希望它能让我们的拓扑更清晰一些)...
#1 路由
我们正在使用 RRAS 来配置我们的路由。目前,这被配置为为我们的 Web App 服务器提供互联网访问(通过 RRAS 的 NAT),但我需要设置端口转发,以便将任何对端口 80 的请求直接发送到 Web App 服务器。
#2 防火墙
Windows 高级防火墙是否可以接受我们要求的工作?(我想这个答案是肯定的。)
#3 VPN
到目前为止,设置 VPN 一直很痛苦(证书很烦人!)。我看过的每个教程似乎都有一个 DNS 和 DHCP 角色在他们的 VPN 机器上运行......这是为什么?它们都是必要的还是我可以将它们装箱?
总体
关于如何根据我们的需要配置此服务器的更多提示?
感谢您的任何建议。如果这是一个非常糟糕的问题,我很抱歉!(至少有赏金:)
您可以将 RRAS 用于防火墙、NAT 和 VPN,因此,是的,您可以为 Windows Server 2008 防火墙提供一个公共 IP 地址,并让它为您的所有内部网络路由流量并将特定端口 (fe 80) 转发到您的内部服务器,你也可以让它像一个 VPN 服务器(PPTP 和/或 L2TP)。RRAS 自 Windows 2000 以来就已经存在,它在简单设置方面做得非常好。
不过,它不是完整的防火墙/代理解决方案;你不能定义细粒度政策,它不会做任何网络代理(无论是直接或反向),它无法过滤流量在应用层,它不记录网络流量进行进一步的分析。
简而言之:是的,RRAS 可以做任何您需要的事情,简单而粗暴;但它不是像 ISA 或 TMG 那样成熟的网络访问和安全解决方案。
| 归档时间: |
|
| 查看次数: |
1558 次 |
| 最近记录: |