幫助將伺服器放在一起用於路由/防火牆/VPN 目的
我們目前正在組裝我們自己的伺服器防火牆/路由器。我們將使用 Juniper 或 Watchguard 等公司的專用解決方案,但如果我們使用我們已經計劃獲得的伺服器機器,它將更具成本效益。
關於我們:我們是一個網站,將在防火牆/路由器伺服器後面有兩台伺服器(一個 Web 伺服器和一個數據庫伺服器)。所有三台伺服器都將執行Windows Server 2008 R2 x64。
請原諒我的圖表過於粗魯(我知道它在技術上甚至還沒有接近正確,但它希望讓我們的拓撲更清晰一些)……
#1 路由
我們正在使用 RRAS 來配置我們的路由。目前,這被配置為讓我們的 Web App 伺服器訪問 Internet(通過 RRAS 的 NAT),但我需要設置埠轉發,以便對埠 80 的任何請求都直接發送到 Web App 伺服器。
#2 防火牆
Windows 高級防火牆是否可以接受我們要求的工作?(我想答案是肯定的。)
#3 VPN
到目前為止,設置 VPN 一直很痛苦(證書很煩人!)。我見過的每個教程似乎都在他們的 VPN 機器上執行了 DNS 和 DHCP 角色……這是為什麼呢?它們都是必需的還是我可以將它們裝箱?
全面的
有關如何根據我們的需要配置此伺服器的更多提示嗎?
感謝您的任何建議。如果這是一個非常糟糕的問題,我很抱歉!(至少有賞金:)
您可以將 RRAS 用於防火牆、NAT 和 VPN,因此,是的,您可以為您的 Windows Server 2008 防火牆提供一個公共 IP 地址,讓它為您的所有內部網路路由流量,並將特定埠(fe 80)轉發到您的內部伺服器,你也可以讓它像一個 VPN 伺服器(PPTP 和/或 L2TP)。RRAS 自 Windows 2000 以來就已經存在,它在簡單設置方面做得非常好。
不過,它不是一個完整的防火牆/代理解決方案;您無法定義細粒度的策略,它不執行任何 Web 代理(無論是直接還是反向),它無法在應用程序級別過濾流量,並且它不會記錄網路流量以供進一步分析。
簡而言之:是的,RRAS 可以做任何你需要的事情,簡單而粗略;但它不像 ISA 或 TMG 那樣是成熟的網路訪問和安全解決方案。