teret4242
Goto Top

Anordnung von Firewall und Router in einem Unternehmensnetzwerk

Hallo,

wollte mal nachfragen, in welcher Reihenfolge man Firewall und Router grundsätzlich in einem Unternehmensnetzwerk aufbaut.

Ich hab mir das folgendermaßen vorgestellt:


PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --

...wäre dies so richtig? Bzw. wird dieses Konzept in Unternehmen häufig so verwendet?

Wenn ja, dann wäre ja aber die Firewall kein reines Firewallprodukt, weil dazu müsste sie ja auch routen können, entweder zum nächsten Router oder gleich zum ISP ?? Aber dann würde ja auch der letzte Router wegfallen, und die Firewall könnte direkt zum ISP routen??

Oder hab ich da Denkfehler in meiner Vorstellung?


Danke für die Antworten!

Gruß

Content-Key: 206137

Url: https://administrator.de/contentid/206137

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: Hitman4021
Hitman4021 07.05.2013 um 11:02:22 Uhr
Goto Top
Hallo,

ich habe es meistens so aufgebaut:

PC1 -- Subnetz1 --
. . . . . . . . . . . . . . . . -- Layer 3 Switch -- (Sub Netz 3) -- Firewall -- ISP
PC2 -- Subnetz2 --

Gruß
Mitglied: ticuta1
ticuta1 07.05.2013 um 11:05:07 Uhr
Goto Top
Wo steht bei Dir das DMZ?
LG,
ticuta1
Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.05.2013 um 11:05:10 Uhr
Goto Top
Hallo,

i.d.r routen Firewalls auch. Außerdem ist es so, dass du oftmals nichtmal mehr einen Router benötigst, sondern nur noch ein Modem.

Dh. Firewall/UTM (loggt sich per Modem ins Internet ein) -> Modem -> Internet (ISP)

VG
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.05.2013 um 12:00:43 Uhr
Goto Top
Zitat von @teret4242:
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --

So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.

heutzutage sind haben Firewall-Appliances auch routerfunktionalität, daß man i.d.R. keine zusätzlichen Router benötigt außer dem den ggf. der Provider hinstellt, weil der das unter seiner Kontrolle haben will.

lks
Mitglied: teret4242
teret4242 07.05.2013 um 12:15:40 Uhr
Goto Top

So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den
Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.

Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der Firewall zum nächsten Router (ISP) gekommen?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.05.2013 um 12:22:17 Uhr
Goto Top
Über die Definition der entsprechenden Gateways. Vereinfacht wie bei einem PC, der auf das entfernte Ziel x zugreifen möchte.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.05.2013 aktualisiert um 12:37:43 Uhr
Goto Top
Zitat von @teret4242:
Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der
Firewall zum nächsten Router (ISP) gekommen?

Per default route. Wie bei den heutigen Rechnern auch. face-smile

Die Firewalls von damals waren nichts anderes als proxies für diverse Anwendungen. (smtp, http, ftp, etc.). (erst selbstgeschriebene scripten und programme, später dann tis, fwtk, gauntlet und wie sie noch hießen). d.h. im wesentlich ein Server der in einer neutralen zone stand und alle im LAn mußten mit diesem reden udn dieser redete mit der Außenwelt.

Die Pakete fürde dann per sttischer und default route zugestellt.

Inzwischen ist die hardware leistungsfähig genug, daß man verschiedene Sachen zusammenfassen kann, wobei es aber imerm noch sinnvoll sein kann, deine obige Struktur zu nehmen. kommt einfach auf die Anforderungen an.

lks
Mitglied: teret4242
teret4242 07.05.2013 aktualisiert um 12:42:43 Uhr
Goto Top
Zitat von @Lochkartenstanzer: default route. Wie bei den heutigen Rechnern auch. face-smile

Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so richtig face-smile ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.05.2013 um 12:49:54 Uhr
Goto Top
Zitat von @teret4242:
Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so
richtig face-smile ?

Nein, das wäre falsche Planung. Systeme die miteinander daten austauschen müssen 8udn sei es nur die weiterleitung von paketen, müssen im gleichen netz hängen. Was du meinst, daß die beiden Router udn die firewall im gleichen netz(-segment) sein müsen.

es war früher übrigens auch durchaus üblich, daß die Firewall 2 Beinchen hatte, eine intern udn eine extern. sie hat nciht geroutet udn damit kam keiner der drin war raus udn keiner der draußen war rein. Für alle Anwendungen, die nach draußen kommuunizieren mußten, wurden dann Application-Proxies geschrieben (sehr aufwendig!).

lks
Mitglied: aqui
aqui 11.05.2013 um 00:08:21 Uhr
Goto Top
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten. Man muss hier aber aufpassen um nicht in Performance Engpässe zu laufen.
So ein Router sollte immer eine identische oder bessere IP Paket Forwarding Rate haben wie die Firewall selber.
Technisch besser wäre also immer ein simples Modem.
Hier findest du ein paar Antworten zu den Fragen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.05.2013 um 13:29:48 Uhr
Goto Top
Zitat von @aqui:
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten.


Inziwschen gibt es einige Anbieter die nur einen 100baseT/1000BaseT Anschluß an einem Router installieren, wo fertiges IP mit einem /29 rausgefallen kommt und deren Router man nicht "anfassen" darf. Da würde man die Firewall direkt da dran stöpseln und ggf die restlichen IP-Adressen per srtatischem NAT in die DMZ weiterleiten.

lks