Fragen zum Thema: Firewall Literatur Aufbau Rat
Hallo Community,
ich bin der neue und habe einige Fragen zum Thema Firewall.
Liegen habe ich noch:
eth0 auf
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
Proxy
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
auf eth 1
Eigenständige Instanzen . Die VM müsste dann nur 2 Netzwerkanschlüsse besitzen.
Die VM darf selbst auf keinem Port lauschen sondern leitet alle eingehende Pakete an Firewall 1 diese leitet es je nach Protokoll entweder zum Proxy oder zur Firewall 3. (Video Stream).
Für Banana Pi
PfSense/opnSense(abklatsch?)/openWrt/bsd
Paketfilter
Ich würde zwei verschiedene Benutzen. Am besten mit unterschiedlichen System. Oder?
Linux ist ok und BSD muss ich sowieso noch lernen.
*FreeBSD
*Alpine Linux
*ClearOS
*pfSense/Opnsense
*IPFire
*Untangle NG Firewall
*VyOS
*Sophos UTM
*Zeroshell
*BSD Router Project
*Endian Firewall
Womit habt Ihr Erfahrung?
Welcher Aufbau bietet was und welche Nachteile haben diese?
Mit freundlichem Gruß
B.Right
ich bin der neue und habe einige Fragen zum Thema Firewall.
Inhaltsverzeichnis
Lektüre
Ich habe bereits O'reillys Bücher zum Thema Einrichten von Internet Firewalls und Linux Firewalls gelesen.Liegen habe ich noch:
- Designing and Implementing Linux Firewalls and Q.o.S von Lucian Gheorghe
- Firewalls im Unternehmenseinsatz von Jörg Fritsch
Aufbau einer Firewall
Was haltet ihr von:Firewalls auf einer Virtuellen Maschine
Eine virtuelle Maschineeth0 auf
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
Proxy
*virt. Netzwerkverbindung
Paketfilter (Ein und Ausgehend)
*virt. Netzwerkverbindung
auf eth 1
Eigenständige Instanzen . Die VM müsste dann nur 2 Netzwerkanschlüsse besitzen.
Die VM darf selbst auf keinem Port lauschen sondern leitet alle eingehende Pakete an Firewall 1 diese leitet es je nach Protokoll entweder zum Proxy oder zur Firewall 3. (Video Stream).
Paketfilter und Proxy auf Einplatinenbasis
Hier würde ich ein Banana Pi Router als Router und ein Raspberry Pi 3 mit USB Netzwerkkarte Reichelt Dellock als Proxy verwenden.Paketfilter und Proxy auf einer Maschine
Ein ganz Normaler PC oder alten Router.(PfSense mit Squid)Software
Liste von DistrowatchFür VM
vielleicht ein Proxmox/VirtualBox/vmsphere/hyperv?Für Banana Pi
PfSense/opnSense(abklatsch?)/openWrt/bsd
Paketfilter
Ich würde zwei verschiedene Benutzen. Am besten mit unterschiedlichen System. Oder?
Linux ist ok und BSD muss ich sowieso noch lernen.
*FreeBSD
*Alpine Linux
*ClearOS
*pfSense/Opnsense
*IPFire
*Untangle NG Firewall
*VyOS
*Sophos UTM
*Zeroshell
*BSD Router Project
*Endian Firewall
Rat
Meine Frage was empfehlt Ihr?Womit habt Ihr Erfahrung?
Welcher Aufbau bietet was und welche Nachteile haben diese?
Dank und Grüße
Vielen Dank für euren Rat und Eure HilfeMit freundlichem Gruß
B.Right
Please also mark the comments that contributed to the solution of the article
Content-Key: 342123
Url: https://administrator.de/contentid/342123
Printed on: April 18, 2024 at 04:04 o'clock
9 Comments
Latest comment
Grundsätzlich sollte man, wenn man denn wirklich sicher sein will, niemals eine FW in einer VM oder einem Hypervisor laufen lassen. Eine FW gehört immer auf ein dediziertes Blech.
Weitere Grundlagen auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und in den weiterführenden Links.
Raspberry Pi eignet sich nur als Demo oder für den Heimgebrauch bei xDSL Anschlüssen <10 Mbit, denn intern hängt der Ethernet Port am USB Controller der nur einen sehr begrenzten Durchsatz hat.
Scheckkartenrechner ist also nur etwas für ein sehr kleines Umfeld ggf. remote steuerbarer Maschinen usw. also mit sehr wenig Traffic Aufkommen.
Alles andere sollte wenigstens PCEngines Boards oder Intel Mainboards sein. Siehe dazu auch die HW Liste von @108012 hier im Forum.
Weitere Grundlagen auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und in den weiterführenden Links.
Raspberry Pi eignet sich nur als Demo oder für den Heimgebrauch bei xDSL Anschlüssen <10 Mbit, denn intern hängt der Ethernet Port am USB Controller der nur einen sehr begrenzten Durchsatz hat.
Scheckkartenrechner ist also nur etwas für ein sehr kleines Umfeld ggf. remote steuerbarer Maschinen usw. also mit sehr wenig Traffic Aufkommen.
Alles andere sollte wenigstens PCEngines Boards oder Intel Mainboards sein. Siehe dazu auch die HW Liste von @108012 hier im Forum.
Hallo,
der Einwand von @aqui ist auch das erste worüber ich stolpere....
eine Firewall ist immer in Blech...
Virtualisiert hast du nur einen Angriffspunkt mehr.... und wenn es ganz schief läuft bekommt diene Firewall nichts davon mit das sie Kompromitiert wurde und du schläfst Glückselig weiter....
brammer
der Einwand von @aqui ist auch das erste worüber ich stolpere....
eine Firewall ist immer in Blech...
Virtualisiert hast du nur einen Angriffspunkt mehr.... und wenn es ganz schief läuft bekommt diene Firewall nichts davon mit das sie Kompromitiert wurde und du schläfst Glückselig weiter....
brammer
Oder aus Ziegelsteinen.
Weil heute Freitag ist.
lks
Zitat von @Bisy.Right:
Eine VM die einfach nicht auf den Netzwerkkarten lauscht, sondern alles direkt an die Maschinen weiterleitet müsste die nicht sicher sein?
Eine VM die einfach nicht auf den Netzwerkkarten lauscht, sondern alles direkt an die Maschinen weiterleitet müsste die nicht sicher sein?
Was meinste Du damit? Wen die VM nicht Ihre Interfaces bedient, wozu ist sie dann gut?
lks