Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anordnung von Firewall und Router in einem Unternehmensnetzwerk

Frage Netzwerke LAN, WAN, Wireless

Mitglied: teret4242

teret4242 (Level 1) - Jetzt verbinden

07.05.2013, aktualisiert 11:01 Uhr, 2250 Aufrufe, 11 Kommentare

Hallo,

wollte mal nachfragen, in welcher Reihenfolge man Firewall und Router grundsätzlich in einem Unternehmensnetzwerk aufbaut.

Ich hab mir das folgendermaßen vorgestellt:


PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --

...wäre dies so richtig? Bzw. wird dieses Konzept in Unternehmen häufig so verwendet?

Wenn ja, dann wäre ja aber die Firewall kein reines Firewallprodukt, weil dazu müsste sie ja auch routen können, entweder zum nächsten Router oder gleich zum ISP ?? Aber dann würde ja auch der letzte Router wegfallen, und die Firewall könnte direkt zum ISP routen??

Oder hab ich da Denkfehler in meiner Vorstellung?


Danke für die Antworten!

Gruß
Mitglied: Hitman4021
07.05.2013 um 11:02 Uhr
Hallo,

ich habe es meistens so aufgebaut:

PC1 -- Subnetz1 --
. . . . . . . . . . . . . . . . -- Layer 3 Switch -- (Sub Netz 3) -- Firewall -- ISP
PC2 -- Subnetz2 --

Gruß
Bitte warten ..
Mitglied: ticuta1
07.05.2013 um 11:05 Uhr
Wo steht bei Dir das DMZ?
LG,
ticuta1
Bitte warten ..
Mitglied: certifiedit.net
07.05.2013 um 11:05 Uhr
Hallo,

i.d.r routen Firewalls auch. Außerdem ist es so, dass du oftmals nichtmal mehr einen Router benötigst, sondern nur noch ein Modem.

Dh. Firewall/UTM (loggt sich per Modem ins Internet ein) -> Modem -> Internet (ISP)

VG
Bitte warten ..
Mitglied: Lochkartenstanzer
07.05.2013 um 12:00 Uhr
Zitat von teret4242:
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --

So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.

heutzutage sind haben Firewall-Appliances auch routerfunktionalität, daß man i.d.R. keine zusätzlichen Router benötigt außer dem den ggf. der Provider hinstellt, weil der das unter seiner Kontrolle haben will.

lks
Bitte warten ..
Mitglied: teret4242
07.05.2013 um 12:15 Uhr
Zitat von Lochkartenstanzer:

So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den
Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.

Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der Firewall zum nächsten Router (ISP) gekommen?
Bitte warten ..
Mitglied: certifiedit.net
07.05.2013 um 12:22 Uhr
Über die Definition der entsprechenden Gateways. Vereinfacht wie bei einem PC, der auf das entfernte Ziel x zugreifen möchte.
Bitte warten ..
Mitglied: Lochkartenstanzer
07.05.2013, aktualisiert um 12:37 Uhr
Zitat von teret4242:
Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der
Firewall zum nächsten Router (ISP) gekommen?

Per default route. Wie bei den heutigen Rechnern auch.

Die Firewalls von damals waren nichts anderes als proxies für diverse Anwendungen. (smtp, http, ftp, etc.). (erst selbstgeschriebene scripten und programme, später dann tis, fwtk, gauntlet und wie sie noch hießen). d.h. im wesentlich ein Server der in einer neutralen zone stand und alle im LAn mußten mit diesem reden udn dieser redete mit der Außenwelt.

Die Pakete fürde dann per sttischer und default route zugestellt.

Inzwischen ist die hardware leistungsfähig genug, daß man verschiedene Sachen zusammenfassen kann, wobei es aber imerm noch sinnvoll sein kann, deine obige Struktur zu nehmen. kommt einfach auf die Anforderungen an.

lks
Bitte warten ..
Mitglied: teret4242
07.05.2013, aktualisiert um 12:42 Uhr
Zitat von Lochkartenstanzer: default route. Wie bei den heutigen Rechnern auch.

Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so richtig ?
Bitte warten ..
Mitglied: Lochkartenstanzer
07.05.2013 um 12:49 Uhr
Zitat von teret4242:
Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so
richtig ?

Nein, das wäre falsche Planung. Systeme die miteinander daten austauschen müssen 8udn sei es nur die weiterleitung von paketen, müssen im gleichen netz hängen. Was du meinst, daß die beiden Router udn die firewall im gleichen netz(-segment) sein müsen.

es war früher übrigens auch durchaus üblich, daß die Firewall 2 Beinchen hatte, eine intern udn eine extern. sie hat nciht geroutet udn damit kam keiner der drin war raus udn keiner der draußen war rein. Für alle Anwendungen, die nach draußen kommuunizieren mußten, wurden dann Application-Proxies geschrieben (sehr aufwendig!).

lks
Bitte warten ..
Mitglied: aqui
11.05.2013 um 00:08 Uhr
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten. Man muss hier aber aufpassen um nicht in Performance Engpässe zu laufen.
So ein Router sollte immer eine identische oder bessere IP Paket Forwarding Rate haben wie die Firewall selber.
Technisch besser wäre also immer ein simples Modem.
Hier findest du ein paar Antworten zu den Fragen:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Lochkartenstanzer
11.05.2013 um 13:29 Uhr
Zitat von aqui:
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten.


Inziwschen gibt es einige Anbieter die nur einen 100baseT/1000BaseT Anschluß an einem Router installieren, wo fertiges IP mit einem /29 rausgefallen kommt und deren Router man nicht "anfassen" darf. Da würde man die Firewall direkt da dran stöpseln und ggf die restlichen IP-Adressen per srtatischem NAT in die DMZ weiterleiten.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Router & Routing
The Router rumble: Ars DIY build Router/Firewall (2)

Link von Kuemmel zum Thema Router & Routing ...

Router & Routing
gelöst ASUS RT-AC68 Router Firewall Fehlfunktion? (43)

Frage von pk-911 zum Thema Router & Routing ...

Firewall
PfSense Firewall mit Speedport Hybrid Router (2)

Frage von maddig zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...