Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Serwer Proxy - miejsce w sieci LAN

smagciu 06 Sie 2010 00:05 1844 1
  • #1 06 Sie 2010 00:05
    smagciu
    Poziom 12  

    Witam,
    czytałem troche o serwerze proxy, wszedzie pisza o konfiguracji, a jak chciałbym sobie wyobrazic jakie jest jego miejsce w sieci LAN. Proszę powiedzieć, czy dobrze to rozumiem, nakierunkować, poprawić itp itd.
    Przypadek transparentny.
    Czyli jest tak, ze w hostach nie trzeba ustawiac zadnych dodatkowych ustawien, ich brama to wlasnie jest ten serwer proxy. hosty lacza sie do niego, a on dalej do routera itd. serwer taki ma dwa interfejsy sieciowe? Czy moze byc jeden? hosty maja ustawioną brame na serwer, a serwer brame ma na router ? Jaka jest droga przechodzenia takich pakietow przez serwer Proxy? host->eth0 Serwer -> eth1 Serwer-> router ? czy moze host-> eth 0 Serwer (tutaj mielenie pakietów)->eth0 serwer-> router?

    Przypadek nie transparentny
    po prostu serwer wpiety do sieci o switcha, tylko w ustawieniach proxy hosta wskazanie na ten serwer ?

  • #2 06 Sie 2010 00:32
    adikbo
    Poziom 25  

    Witam,

    Najlepsze rozwiązanie z punktu widzenia designu to wstawienie proxy równolegle do firewalla brzegowego. Przed nimi stawiasz switcha L3 bądź router z policy based routingiem i rozdzielasz ruch - na proxy http i https, na firewall reszte.

    Inne podejście to transparentne proxy przed firewallem brzegowym - cały ruch leci przez proxy a później trafia na firewallla.

    Kolejne podejście z którym się spotkałem to proxy w wydzielonym VLANie i policy based routing na switchu. (modyfikacja poprzedniego scenariusza).

    Jeszcze bardziej zakręcone podejście to firewall i proxy na tej samej fizycznej bądź logicznej maszynie - jakiś linux ze squidem i iptables.
    Można również zastosować zmodyfikowane podejście pod tytułem ISA serwer od Microsoftu. Jeżeli ktoś lubi ciągłe łatanie to zabawa dla niego.

    Można również zastosować firewallla z filtrowaniem treści (checkpoint, juniper, cisco ASA) jednakże w tym przypadku trzeba bardzo uważać na obciążenie maszyny - filtrowanie treści bardzo obciąża maszynę.

    Kolejna możliwość to postawienie UTMa (zintegrowane rozwiązanie antywirusa, firewalla, proxy, IPSA i całej reszty).

    Podejście projektowe zależy od konkretnej sytuacji w sieci i jej budowy. Jeżeli budujesz od zera to najlepsze IMO jest podejście z policy based routingiem albo transparente proxy - zależy od ilości ruchu (zależnie od posiadanych środków można się również pokusić o UTM).

    Podejście z konfiguracją Proxy na klientach jest bardzo niewygodne w zarządzaniu.


    pozdrawiam
    adikbo

TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo