Firewall por hardware o Proxy server

24/02/2004 - 13:03 por Mario Barro | Informe spam
Hola a todos/as;

Tengo una duda y espero podáis ayudarme.

El caso es que dispongo de un servidor (frond-end) web en una zona DMZ de un
Firewall por hardware.
Este servidor accede a un servidor SQL-Server (back-end).


El caso es que ahora vamos a actualizar parte de los servidores y a gigabit
Ethernet, entonces si realizo la misma operación de colocación del servidor
Web en la DMZ su velocidad de comunicación con el Servidor de Datos será de
100 en vez de a 1000.

Llegado a este punto había empezado a valorar la implementación del firewall
por soft (MS proxy server), pero ahí vienen mis dudas.
¿Qué sería más recomendable, mantener el firewall por hard y comunicar a 100
entre estos servidores, o trabajar con el MS Proxy Server y quitar el
firewall.?

Agredecería consejos al respecto, pros y contras.

Saludos
Mario Barro.
 

Leer las respuestas

#1 Ivan [MS MVP]
24/02/2004 - 15:20 | Informe spam
O usar ambos. Para empezar usar Proxy 2.0 seria un grave error. Hablariamos
de ISA server y si esperas un poco mas ISA Server 2004.
El esquema que ahora tienes supongo que es un firewall hard con tres
interfaces de red: externo, interno y DMZ. Si situas un ISA detras del
firewal por hard tienes una DMZ back-to-back y en dicha DMZ situas el
servidor , algo asi:

Internet<-->Firewall<DMZ>ISA<>Red interna
|
Servidor

Si en el ISA pones dos interfaces a Giga y creas una regla de publicacion,.
el servidor puede acceder al back-end a Giga, claro, ISA realiza NAT
(half-NAT en este caso) e inspeccion de estado, esto consume mas CPU que el
enrutamiento puro y duro con lo que tendras que estudiar la situacion para
ver que maquina necesitas.
Otra cuestion que yo al menos me plantearia es, realmente necesito que el
front-end se comunique con el back-end a Giga o es suficiente con 100 Mbps ?
yo estudiaria un poco el consumo antes de decidirme por Giga, quizas vas a
matar moscas a cañonazos ;-)

Si te decides por eliminar el firewall por hard y usar un firewall por soft,
vas a perder en seguridad a no ser que en ese firewall por soft crees otra
DMZ. La verdad es que las alternativas pueden ser muchas, esto solo son
alguna ideas un poco por encima, decidirse por una cosa u otra es una
decision vuestra, a traves de los grupos es dificil logicamente poder
conocer todos los matices.

Un saludo
Ivan
MS MVP ISA Server


"Mario Barro" escribió en el mensaje
news:OTJ6u4s%
Hola a todos/as;

Tengo una duda y espero podáis ayudarme.

El caso es que dispongo de un servidor (frond-end) web en una zona DMZ de


un
Firewall por hardware.
Este servidor accede a un servidor SQL-Server (back-end).


El caso es que ahora vamos a actualizar parte de los servidores y a


gigabit
Ethernet, entonces si realizo la misma operación de colocación del


servidor
Web en la DMZ su velocidad de comunicación con el Servidor de Datos será


de
100 en vez de a 1000.

Llegado a este punto había empezado a valorar la implementación del


firewall
por soft (MS proxy server), pero ahí vienen mis dudas.
¿Qué sería más recomendable, mantener el firewall por hard y comunicar a


100
entre estos servidores, o trabajar con el MS Proxy Server y quitar el
firewall.?

Agredecería consejos al respecto, pros y contras.

Saludos
Mario Barro.


Preguntas similares