Firewall por hardware o Proxy server

O usar ambos. Para empezar usar Proxy 2.0 seria un grave error. Hablariamos
de ISA server y si esperas un poco mas ISA Server 2004.
El esquema que ahora tienes supongo que es un firewall hard con tres
interfaces de red: externo, interno y DMZ. Si situas un ISA detras del
firewal por hard tienes una DMZ back-to-back y en dicha DMZ situas el
servidor , algo asi:

Internet<-->Firewall<DMZ>ISA<>Red interna
|
Servidor

Si en el ISA pones dos interfaces a Giga y creas una regla de publicacion,.
el servidor puede acceder al back-end a Giga, claro, ISA realiza NAT
(half-NAT en este caso) e inspeccion de estado, esto consume mas CPU que el
enrutamiento puro y duro con lo que tendras que estudiar la situacion para
ver que maquina necesitas.
Otra cuestion que yo al menos me plantearia es, realmente necesito que el
front-end se comunique con el back-end a Giga o es suficiente con 100 Mbps ?
yo estudiaria un poco el consumo antes de decidirme por Giga, quizas vas a
matar moscas a cañonazos ;-)

Si te decides por eliminar el firewall por hard y usar un firewall por soft,
vas a perder en seguridad a no ser que en ese firewall por soft crees otra
DMZ. La verdad es que las alternativas pueden ser muchas, esto solo son
alguna ideas un poco por encima, decidirse por una cosa u otra es una
decision vuestra, a traves de los grupos es dificil logicamente poder
conocer todos los matices.

Un saludo
Ivan
MS MVP ISA Server


"Mario Barro" escribió en el mensaje
news:OTJ6u4s%

Hola a todos/as;

Tengo una duda y espero podáis ayudarme.

El caso es que dispongo de un servidor (frond-end) web en una zona DMZ de

un

Firewall por hardware.
Este servidor accede a un servidor SQL-Server (back-end).


El caso es que ahora vamos a actualizar parte de los servidores y a

gigabit

Ethernet, entonces si realizo la misma operación de colocación del

servidor

Web en la DMZ su velocidad de comunicación con el Servidor de Datos será

de

100 en vez de a 1000.

Llegado a este punto había empezado a valorar la implementación del

firewall

por soft (MS proxy server), pero ahí vienen mis dudas.
¿Qué sería más recomendable, mantener el firewall por hard y comunicar a

100

entre estos servidores, o trabajar con el MS Proxy Server y quitar el
firewall.?

Agredecería consejos al respecto, pros y contras.

Saludos
Mario Barro.

Gracias por tu respuesta, estudiaré el tema con detenimiento y si me surgen
dudas las comentaré.

Saludos


"Ivan [MS MVP]" escribió en el mensaje
news:%23QU$pFu%

O usar ambos. Para empezar usar Proxy 2.0 seria un grave error.

Hablariamos

de ISA server y si esperas un poco mas ISA Server 2004.
El esquema que ahora tienes supongo que es un firewall hard con tres
interfaces de red: externo, interno y DMZ. Si situas un ISA detras del
firewal por hard tienes una DMZ back-to-back y en dicha DMZ situas el
servidor , algo asi:

Internet<-->Firewall<DMZ>ISA<>Red interna
|
Servidor

Si en el ISA pones dos interfaces a Giga y creas una regla de

publicacion,.

el servidor puede acceder al back-end a Giga, claro, ISA realiza NAT
(half-NAT en este caso) e inspeccion de estado, esto consume mas CPU que

el

enrutamiento puro y duro con lo que tendras que estudiar la situacion para
ver que maquina necesitas.
Otra cuestion que yo al menos me plantearia es, realmente necesito que el
front-end se comunique con el back-end a Giga o es suficiente con 100 Mbps

?

yo estudiaria un poco el consumo antes de decidirme por Giga, quizas vas a
matar moscas a cañonazos ;-)

Si te decides por eliminar el firewall por hard y usar un firewall por

soft,

vas a perder en seguridad a no ser que en ese firewall por soft crees otra
DMZ. La verdad es que las alternativas pueden ser muchas, esto solo son
alguna ideas un poco por encima, decidirse por una cosa u otra es una
decision vuestra, a traves de los grupos es dificil logicamente poder
conocer todos los matices.

Un saludo
Ivan
MS MVP ISA Server


"Mario Barro" escribió en el mensaje
news:OTJ6u4s%
> Hola a todos/as;
>
> Tengo una duda y espero podáis ayudarme.
>
> El caso es que dispongo de un servidor (frond-end) web en una zona DMZ

de

un
> Firewall por hardware.
> Este servidor accede a un servidor SQL-Server (back-end).
>
>
> El caso es que ahora vamos a actualizar parte de los servidores y a
gigabit
> Ethernet, entonces si realizo la misma operación de colocación del
servidor
> Web en la DMZ su velocidad de comunicación con el Servidor de Datos será
de
> 100 en vez de a 1000.
>
> Llegado a este punto había empezado a valorar la implementación del
firewall
> por soft (MS proxy server), pero ahí vienen mis dudas.
> ¿Qué sería más recomendable, mantener el firewall por hard y comunicar a
100
> entre estos servidores, o trabajar con el MS Proxy Server y quitar el
> firewall.?
>
> Agredecería consejos al respecto, pros y contras.
>
> Saludos
> Mario Barro.
>
>