Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Welche Firewall eignet sich am besten

Frage Sicherheit Firewall

Mitglied: Bangert

Bangert (Level 1) - Jetzt verbinden

18.03.2008, aktualisiert 19.03.2008, 4558 Aufrufe, 8 Kommentare

Hallo,

da ich am Ende meines Wissens bin und die Zeit drängt, möchte ich euch mal um Hilfe bitten.


Hier um was es geht:

Mein Abschlussprojekt besteht daraus, ein redundantes Storage Area Network aufzubauen, zu konfigurieren, zu testen und in eine bestehende Netztopologie mit Internet-Zugang zu integrieren. Das Storage Area Network soll aus einem Raid-5-System bestehen, das über FibreCat an 2 redundante Windows 2003 Server angebunden sein soll. So soll gewährleistet werden, dass das Raid-Cluster jederzeit Verfügbar und Ansprechbar ist. Die Windows 2003 Server müssen so konfiguriert werden, dass im Falle eines Ausfalls eines Servers die redundante Komponente den Betrieb weiterhin gewährleistet. Der aktive Windows 2003 Server wird von den Usern über einen Domänen-Kontroller angesprochen. Die User, die an den Domänen-Kontroller angebunden sind, können zwar mit ihren Clients auf das Internet und auf das Raid-Cluster zugreifen, jedoch soll ein Zugriff auf das Raid-Cluster vom Internet aus mittels einer Firewall verhindert werden. So werden die Sicherheitsbetrachtungen der Firewall in jeder Hinsicht überprüft und so konfiguriert, dass kein Zugriff auf das Raid-Cluster über das Internet möglich ist.

Nun benötige ich eure Hilfe zur Lösung des Problems mit der Firewall. Welche Firewall eignet sich für sowas am besten, welche
Features sollte sie haben? Was für eine Firewall würdet ihr nehmen und wie würdet ihr sie konfigurieren, d.h. würdet ihr nen Paketfilter nehmen und nur bestimmte Datenpakete durchlassen oder wie würdet ihr es machen??

Danke schonmal jetzt.

MFG Bangert
Mitglied: ithi
18.03.2008 um 13:42 Uhr
Welche Firewall eignet sich für sowas am
besten, welche
Features sollte sie haben?
Das ist schon fast Geschmackssache. Die meisten Firewall-Produkte ähneln sich sehr, so dass viele nur noch über Handhabung Unterschiede in ihren Funktionen aufweisen. Die Frage welches Produkt ist weniger interessant, als die Frage der Konfiguration, die Du ja auch schon gestellt hast.
Zur Frage der Produkte würde ich Dir empfehlen, Dich mal auf den Produkthomepages umzuschauen. Da gibt es meist einen Testserver, den Du anfassen darfst. So kannst schauen mit was Du zurecht kommst.

Ich benutze häufig für Teststellungen, oder auch im privaten Bereich die Firewall von Astaro (http://www.astaro.de/).
Für private Zwecke kannst Du diese sogar mit max. fünf Benutzern kostenlos einsetzen (Lizenz bekommst Du per Mail).

Zur Konfiguration:
Natürlich alle möglichen Sicherheitsfeatures incl. IDS einschalten, u.U. nur Standardmäßig aktivieren. So viele Dienste/Ports für einen selbstständigen Cluster sind es sicherlich auch wieder nicht.
Und da Du schon einen DC und einen DNS hast, brauchst Du diese auch nicht weiter berücksichtigen. Nur wenn Du den Zugriff über Internet per VPN zulassen möchtest (was ich wenn empfehle), wird es ein wenig schwieriger. Zumindest hab ich daran schon immer zu fummeln gehabt. Ich beschäftige mich damit einfach zu wenig, und dann kommt hinzu, dass ich es so selten einrichte... Fernzugriff ist sowieso immer eine heikle Sache. Wenn Du das in dein Projekt mit aufnehmen solltest, verweise unbedingt auch aufs BSI-Grundschutz-Handbuch/-Katalog (http://www.bsi.de/gshb/index.htm und http://www.bsi.de/gshb/deutsch/index.htm).

Sorry, aber viel mehr kann ich Dir dazu nicht sagen, weil ich Dein Projekt auch nicht kenne. Zumal habe ich auch noch nie eine Anforderung wie deine in dem Projekt bearbeitet (zu kleines Licht).

Ich hoffe, ich konnte Dir ansatzweise helfen.
Bitte warten ..
Mitglied: Bangert
18.03.2008 um 14:33 Uhr
Danke, für deine Antwort.
Doch das hat mir ehrlich gesagt schon ein bisschen weiter geholfen.

Nur hab ich halt keinen Plan, auf welchen Rechner die Firewall drauf soll, oder ob ich sowas wie den Cisco ASA Router benutzen soll. Und welche Ports ich frei gegeben muss ist mir auch noch nicht so genau bewusst.
Auf der SAN sollen später mal Datenbankanwendungen laufen.
Und VPN-Zugriff würde ich schon gern machen können.
Bitte warten ..
Mitglied: aqui
18.03.2008 um 15:23 Uhr
Sowas macht man im professionellen Umfeld niemals mit SW auf dem Rechner wie bei Hans Piepenbrink in seinem Heimnetzwerk, sondern mit einer externen Firewall !!! Die Server sollen servern... und nicht auch noch Firewall spielen, das sollte klar sein !
Das was ithi richtigerweise oben zitiert bezieht sich auch auf externe Systeme so wie es in einer professionellen Umgebung (..wie du sie ja auch planst !) gang und gäbe ist.

Fast alle midrange FW Appliances sei es Astaro, Watchguard etc. um mal die bekanntesten zu nennen haben ein gehärtetes Linux an Bord so das es kosemtisch egal ist was du dort verwendest. Mit den beiden genannten Produkten bist du da auf der sicheren Seite. Im High End bereich hast du da Netscreen, Checkpoint und Co.
Letztlich ist es aber abhängig wie dein Netz aussieht und vor allen Dingen was für Applikationen dort laufen.
Einen Pauschalrat gibt es da nicht !!
Bitte warten ..
Mitglied: Bangert
18.03.2008 um 15:25 Uhr
Also auf der SAN sollen mal Datenbankanwendungen laufen.
Hab hier mal ein Bild das ungefähr den Netzaufbau zeigt.

[URL=http://img254.imageshack.us/my.php?image=netzplanwb3.jpg][IMG]http://img254.imageshack.us/img254/2091/netzplanwb3.th.jpg[/IMG][/URL]
Bitte warten ..
Mitglied: aqui
18.03.2008 um 15:39 Uhr
Es bleibt aber dabei das man sowas in einem professionellen Rahmen mit externen FW löst wie z.B.:

http://www.watchguard.com/international/de/

http://www.astaro.de/our_products/astaro_security_gateway/hardware_appl ...

usw. usw.
Bitte warten ..
Mitglied: Bangert
19.03.2008 um 08:45 Uhr
So, es gab ne Änderung.

Also die User in der Domäne haben Internet und Intranet Zugang, diese bestehen schon länger.
Die User, die an den Domänen-Kontroller angebunden sind, sollen zwar mit ihren Clients auf das Internet und auf das Raid-Cluster zugreifen können, jedoch soll ein Zugriff auf das Raid-Cluster vom Internet aus mittels einer Firewall verhindert werden.

Jetzt kann ich doch einfach noch eine Firewall einbinden, die alle Ports von außen zu macht und von innen den Zugriff auf das Internet erlaubt. Oder nicht?
Hab mir gedacht, dass ich das mit ner Lösung von Astaro durchführen kann.

http://www.astaro.de/our_products/astaro_security_gateway/hardware_appl ...
Bitte warten ..
Mitglied: aqui
19.03.2008 um 10:10 Uhr
Ja, das wäre ein richtiger und guter Ansatz. Der Hersteller der FW ist dabei nicht ganz so wichtig !
Bitte warten ..
Mitglied: ithi
19.03.2008 um 13:39 Uhr
Ich würde sogar soweit gehen die Firewall nur "als zwingend Notwendig" zu erwähnen und gar nicht in dieses Projekt aufzunehmen. Denn, ich glaube, aus der Firewall-Einrichtung/-Installation könntest Du ein eigenes Projekt machen.
Bitte warten ..
Ähnliche Inhalte
Firewall
Welche Firewall am besten für Virenscan pfSence, IPCop, ipFire oder andere ?
Frage von fitorfunFirewall5 Kommentare

Hallo zusammen, ich will auf einem Mini PC APU eine Firewall installieren. Ich kenne ipCop ein bisschen. Außerdem habe ...

Linux Netzwerk
Best Practice: Steuerung iptables-firewall auf physikalischem Host durch virtuelle Maschine
Frage von adpLinux Netzwerk

Hallo zusammen, folgendes Szenario: Ein physikalischer Host (host.example.com) unter ubuntu hat mehrere virtuelle Maschinen (lxc), u.a. ein Mailserver (mail.example.com). ...

Grafikkarten & Monitore
Welcher Monitor ist der beste für mich?!
Frage von DieKlebpolizeiGrafikkarten & Monitore8 Kommentare

Ich möchte mir einen neuen Monitor kaufen, da mein jetziger meinen Anforderungen nicht entspricht. Mein PC arbeitet mit einer ...

Firewall
Welche Firewall ?
Frage von CyberurmelFirewall18 Kommentare

Hi @ all, bräuchte mal wieder Euren fachmännischen Rat / Tipp. Es soll eine neue Firewall mit 10G Interface ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 13 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 15 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.