Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HA-Firewall mit guter Regelwerkspflege - reine SIF

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

13.05.2013 um 09:31 Uhr, 2150 Aufrufe, 4 Kommentare

Hallo!

Ich habe eine interne Firewall, die routet und filtert zwischen derzeit 18 VLANs/Netzen.
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.

Das Regelwerk habe ich schon seit Jahren mit dem "Firewallbuilder" gepflegt und als Firewall ein Linux-System eingesetzt. Damit bin ich auch wirklich sehr zufrieden, aber Firewallbuilder/FWBuilder wird nicht mehr weiter entwickelt.

Kennt ihr irgendeine Alternative?
Wichtig ist vor allem die übersichtliche Pflege der Regeln mit verlinkten Objekten, da ich sonst das Regelwerk nur schwer überblicke. Derzeit wird von einem "Grundregelwerk" je nach Netz in eine andere "Sub-Policy" verwiesen. Kennt ihr noch eine andere Software, die das kann, oder könnt ihr mir eine Firewall-Appliance empfehlen, die diese Funktionen gut bietet.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.

Vielen Dank für eure Tipps!

Grüße
Phil
Mitglied: 108012
13.05.2013 um 10:11 Uhr
Hallo,

Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Ich würde dann aber lieber dazu übergehen den LAN Verkehr durch einen Layer3 Switch erledigen zu lassen und
die Switche so weit wie möglich zu stapeln! Und die Firewall nur noch den WAN - LAN und WAN - DMZ Verkehr
routen zu lassen. Am besten für so etwas sind wohl auch nicht blockierende Switche die gestapelt werden können.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
OpenBSD würde mir da spontan einfallen! Dort wird via CARP, arpbalance angeboten und man kann
ähnlich wie bei einem VRRP Setup auch eine virtuelle MAC Adresse vergeben und dann man die Netzwerklast
sogar über die beiden Firewalls ausbalancieren, also sprich Geräte basierend!!!
Fällt eine Firewall aus, wird die andere auch automatisch zum Master!
Unix ist nicht Linux, aber man kann es sich ja einmal anschauen, denn das OpenBSD kann man auch gut "härten" für den Einsatz als Gateway.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
- IPFire
- IPCop

Gruß
Dobby
Bitte warten ..
Mitglied: dog
13.05.2013, aktualisiert um 17:03 Uhr
Also eine netfilter-basierte Firewall mit vernünftiger Konfiguration...da fällt mir am ehesten Mikrotik ein.
Mit dem CCR haben die jetzt auch ein Produkt was Gigabit Wirespeed routen können soll - bzw. kann man das OS auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).

HA ist prinzipiell auch möglich, wenn man VRRP benutzt - allerdings gibt es von Haus aus keine automatische Möglichkeit die Konfiguration zu synchronisieren.
Und die CCR sind derzeit eher noch "Open Beta".

Die MT-Firewall kannst du dir übrigens angucken, wenn du die Winbox runterlädst http://download2.mikrotik.com/winbox.exe und dich mit demo.mt.lv verbindest.

Ansonsten haben die Cisco ASAs über den SDM noch eine halbwegs verständliche Firewall-Konfiguration.
Von Cisco IOS würde ich aber abraten, mit der Zone-Based Firewall (die einzige zeitgemäße Firewall in IOS) hat man gleich 50 Zeilen Statements ohne nur eine produktive Regel geschrieben zu haben.
Bitte warten ..
Mitglied: 108012
13.05.2013 um 21:58 Uhr
auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
Schau mal hier auf Seite 35 nach bitte! MikroTik New Hardware Dort wird ein CCR-1036-8G-2S+ angekündigt, mit 2 SFP+ Schnittstellen.

Und die CCR sind derzeit eher noch "Open Beta".
Jo leider noch, die Hardware bleibt aber wie sie ist, aber die Software RouterOS ist noch nicht so der Bringer für dieses Modell oder bzw. für die ganze CCR Serie, es hakt an allen Ecken und Kanten.

Ist aber auch der internen Firmenpolitik geschuldet, man kann seine Programmierer bei Tilera für Schulungen anmelden, $ 3000 für 3 Tage, na rate mal ob die alle da waren.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
14.05.2013 um 08:11 Uhr
Hallo!

Mikrotik setze ich schon sehr häufig ein (derzeit so 40 Geräte), aber so wirklich glücklich bin ich mit der Firewallkonfiguration nicht.

Ich schätze an FWBuilder einfach, dass man Objekte hat, die verlinkt werden. Ich finde, das spart viel Zeit und erhält den Überblick. Auch die verschiedenen Policies sind schön getrennt.

Grüße
Phil
Bitte warten ..
Ähnliche Inhalte
Firewall
Suche eine gute Firewall (OpenSource)
gelöst Frage von Brutus400Firewall11 Kommentare

Hallo, bin neu hier und starte direkt mal mit einer Frage :-) Ich bin auf der Suche nach einer ...

Netzwerkmanagement
ZyXEL USG Firewall Device HA probleme
Frage von simsnakeNetzwerkmanagement2 Kommentare

Hallo zusammen, zunächst mal schöne Ostern euch allen. Ich bin neu hier und habe direkt mal eine Frage an ...

Firewall

Kaufberatung: Firewall mit VPN Funktion und HA Cluster Fähigkeit

gelöst Frage von EvilmachineFirewall14 Kommentare

Hallo Liebe Kollegen, ich bin gerade auf der Suche nach einer guten Hardware Firewall die VPNs kann, Internet Failover ...

Router & Routing

Sif: warning probably an attack

Frage von Maik-SRouter & Routing2 Kommentare

Hallo, seit ein paar Wochen stelle ich unregelmäßig fest, dass meine Verbindung zum Internet unterbrochen wird. Nach wenigen Minuten ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 17 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 17 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...