Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ein paar Fragen zu Hardware-Firewalls

Frage Sicherheit Firewall

Mitglied: dannyx14

dannyx14 (Level 1) - Jetzt verbinden

23.06.2010 um 16:08 Uhr, 4785 Aufrufe, 18 Kommentare

Hallo Community,
ich beschäftige mich heute mit dem Thema Hardware-Firewall. Im August wird bei uns ein neuer Server angeschafft (mit SBS 2008) und der funktioniert ja nunmal nicht mehr (ohne Drittanbietersoftware) als Firewall. Das wollte ich zum Anlass nehmen eine Hardware-Firewall anzuschaffen.

Dazu erstmal folgende Frage:
Hat man eine solche Firewall ist diese ja normalerweise mit (mind.) einem WAN und einem LAN Port ausgestattet. Nun haben wir momentan aber kein dediziertes Modem sondern den Router Speedport W701V. Könnte man einfach den LAN Port des Routers mt dem WAN Port der Firewall verbinden oder müssten wir auch ein Modem kaufen?

Dann bleibt natürlich noch die wichtige Frage welche Firewall. Wie ich den bisherigen Forenbeiträgen so entnehmen konnte ist das ein "Glaubensfrage" trotzdem würde ich gerne nochmal aktuelle Meinungen einholen. Besondere Features werden eigentlich nicht benötigt, ein Spamfilter wäre allerdings nett. Der Preis sollte um die 500€ liegen. Es gibt keine VPN-Benutzer und im lokalen Netzwerk arbeiten maximal 20 Menschen. Ich hatte mir die kleineren Firewalls von ZyXEL, Fortinet, Checkpoint und Astaro angeschaut und konnte irgendwie keine wirklich ausschließen. Was sind so eure Erfahrungswerte?

Grüße,
Daniel.
Mitglied: 45877
23.06.2010 um 16:15 Uhr
Hallo,

erstmal kannst den Speedport per PPPoe Passthrough auch als Modem nutzen, und zum anderen bei Checkpoint und Astaro wirst du für 500€ nicht viel kriegen (eher gar nix).
Ob man bei deinen ansprüchen überhaupt eine dezigierte Firewall braucht oder ob es auch der Paketfilter im Speedport tut, ist auch eher eine Glaubensfrage, aber wenn du
dich mit Firewalls nicht wirklich auskennst ist evtl. ein reiner paketfilter besser als eine schlecht eingestellte Firewall..
Bitte warten ..
Mitglied: maretz
23.06.2010 um 16:15 Uhr
Moin,

erstmal: Ihr nehmt den Server (DAS System was man schützen soll) als Firewall (das System welches die Angriffe aufhalten soll)? Wer hat euch denn das beigebracht - und habt ihr den für diesen Vorschlag wenigstens am nächsten Baum aufgehängt?

Wir nutzen hier die Astaros. Was du auf der WAN-Seite dran hängst ist dem relativ latte - ob nun Router, Modem oder was auch immer. Wichtig nur: Es sollte natürlich NUR die Astaro ne Verbindung zum Internet haben - und nicht noch irgendwo die schnelle "Querstrippe" direkt vom Router zum Netzwerk-Switch laufen.

Gruß

Mike
Bitte warten ..
Mitglied: adminst
23.06.2010 um 16:31 Uhr
Ich kann dir nur von Astaro abraten. Gut wir setzen die Astaros in grösserem Umfeld ein.
Es kann sein, dass deine Astaro plötzlich den ganzen Traffic kappt, weil die Astaro jungs wiedermal falsche IDP Signaturen senden usw.

Wie du richtig erkannt hast, es ist eine Glaubensfrage.

Aber du solltest dir bei folgenden Punkten im klaren sein, was du willst:

- Wieviel darf Sie kosten
- Was für Dienste sollen dahinter laufen
- Wieviel Traffic hast du
- Wieviele Clients sind dahinter
- Wieviele Clients werden in Zukunf dahinter sein
- Was für Anforderungen hast du an die Firewall (AV Proxy, SPAM Scan Proxy, IDP und und und.

Sobald du ein solches Audit gemacht hast, kannst du dich fragen, welche Firewall kann mir das bieten?
Bei dieser Frage erhälst du eine Matrix. Dann musst du dich anhand von Fakten entscheiden.

Wie schon gesagt, bei einem Preis von 500€ bekommst du garantiert keine Checkpoint, Astaro usw.)

Ich kann nur erahnen, dass evtl die Zywall USG100 etwas für dich sein könnte.

Gruss
adminst
Bitte warten ..
Mitglied: maretz
23.06.2010 um 16:36 Uhr
Ok - ich nutze das IDS von Astaro nicht. Daher auch keine Aussage darüber.

Welchen Punkt ich noch zu der Liste fürs "Audit" hinzufügen möchte:

-> soll die FW selbst verwaltet werden oder von einer Firma?

Und da bitte ERNSTHAFT drüber nachdenken. Es bringt dir nix das du die Kohle sparst - aber die FW dafür nur Löcher hat...
Bitte warten ..
Mitglied: 45877
23.06.2010 um 16:37 Uhr
Zitat von adminst:
Ich kann dir nur von Astaro abraten. Gut wir setzen die Astaros in grösserem Umfeld ein.
Es kann sein, dass deine Astaro plötzlich den ganzen Traffic kappt, weil die Astaro jungs wiedermal falsche IDP Signaturen
senden usw.


Hallo,

ich hab hier auch 3 Astaros und das mit dem IDP Update war nur einmal, zumindest einmal mit den gravierenden Folgen.
Ansonsten bin ich zufrieden mit den Dingern.
Bitte warten ..
Mitglied: spongebob24
23.06.2010 um 16:59 Uhr
bei uns ca. 60 astaros im einsatz.
ok war sehr beschissen wo das fehlerhafte update kam und nichts mehr ging aber sonst sehr zufrieden
Bitte warten ..
Mitglied: sniffnase
23.06.2010 um 18:17 Uhr
Nimm die kleinste Fortigate

Das mit dem WAN anschluss auf den Speedport funktioniert schon so. Extra Hardware braucht es nicht. Allerdings muss der Speedport wahrscheinlich die Operating mode umstellen.
Am besten deinen ISP anrufen und sagen was du vorhast.
Bitte warten ..
Mitglied: brammer
23.06.2010 um 19:37 Uhr
Hallo,

ISP anrufen?

Wieso denn das?
Was hinter dem Modem hängt gehtden Provider im Normalfall garnichts an!
Den Speedport würde ich nicht mal wirklich ändern, er doch das Routing machen, dazu ist er.
Eine Punkt zu Punkt Verbindung vom Speedport zur Firewall, auf der Firewall die Regularien einrichten und gut ist.

Welches Gerät du nimmst ist deinem Können und deinem Geldbeutel geschuldet.
Ob es eine Cisco ASA 5505 oder eine Fortigate oder eine Astaro wird ist letztendlich nicht wirklich relevant. Hauptsache das Ding ist sauber konfigruiert.

brammer
Bitte warten ..
Mitglied: sniffnase
23.06.2010 um 19:45 Uhr
Ist natürlich die Frage wem der Speedport gehört. Wenn man die zugangsdaten hat kann man natürlich selbst die Operating Mode umstellen.
Ich würde die Firewall als Router fungieren lassen und nicht den Speedport, kommt aber natürlich drauf an was man vor hat. VPN Dialup von aussen auf die Firewall kann sonst etwas kompliziert werden.
Bitte warten ..
Mitglied: 2hard4you
23.06.2010 um 19:48 Uhr
Moin,

das wichtige ist ja schon gesagt Speedport - Firewall - LAN - und damit keine(r) auf dumme Gedanken kommt, würde ich die ungenutzten Ports des Speedports mit bissel Bauschaum oder Acryl o.ä. dauerhaft verschließen und den WLAN-Teil abstellen, den Zugang zum Speedport per LAN sichern und schon sollte der Keks gegessen sein

und ob Du die 500 € in ne HW-FW investierst, oder nen simple PC und ne zweite NIC kaufst und ne M0n0wall drauf laufen läßt, ist nur Deinem Platzbedarf geschuldet - beides sollte sauber konfiguriert sein...

Gruß

24
Bitte warten ..
Mitglied: laster
23.06.2010 um 21:37 Uhr
Hallo,

falls als Firewall eine Softwarelösung interessant ist, hier ein Tip: Kerio Control ( http://www.kerio.eu/eu/control/technical-specifications ).
Ansonsten haben wir mit SonicWALL beste Erfahrungen gemacht...

vG
LS
Bitte warten ..
Mitglied: exellent
24.06.2010 um 09:07 Uhr
Fortigate kann ich dir auch wärmstens empfehlen. Die Fortis sind auch für Anfänger relativ easy einzurichten und Preis/Leistung stimmt!

Zudem liegt die Fortigate 60B bei circa 500€. Im Bundle mit folgenden Lizenzen und Wartungsvertrag bei ca. 800€

Anti-Spam, Intrusion Detection, Content-Filter, Anti-Virus, Firmware Updates, 8x5 Hardware Return (3 Tage), alle mit Laufzeit: 1 Jahr,Support für 12 Monate
Bitte warten ..
Mitglied: dannyx14
24.06.2010 um 13:03 Uhr
@maretz beim SBS 2003 war es von Microsoft so vorgesehen, dass der Server auch als Firewall fungiert. Nebenbei gesagt sollte auch die öffentliche Webseite drauf laufen. Wir haben beides nicht gemacht, sollte eher ein Einleitungssatz sein, warum wir eine extra Firewall überhaupt brauchen.

Die Verbindung wird auf jeden Fall so laufen wie ihr es gesagt habt: erst Router dann Firewall dann lokales Netzwerk, Firewall wird nirgends überbrückt.

@adminst
-Wieviel darf sie kosten: um die 500€, wenns sein muss 600 aber lieber 400
-Dienste/Ports: Port 25 für SMTP E-Mail und 110 für pop3 (Exchange) das wars schon, da weder SharePoint noch OWA oder Remoteverwaltung genutzt werden sollen. Hinzu kommt allerdings noch ein Port für unsere Banking Software. Da muss ich noch den Hersteller kontaktieren.
-Traffic: ca. 50 Emails pro Stunde davon 25 mit Anhängen um die 2MB, dazu ein wenig surfen der Benutzer und hin und wieder das Herunterladen von Updates
-Clients: Momentan 10, könnten aber in den nächsten Jahren 20 werden.
-Anforderungen: Das ist für mich halt sehr problematisch, da ich die Möglichkeiten wie ein Netzwerk angegriffen werden kann nicht kenne. Hier wollte ich einfach so viele Features mitnehmen, wie ich für mein Geld kriege.

Die Zugangsdaten zum Speedport haben wir. Und es soll der Einfachheit halber eine Hardware-Firewall werden und kein PC mit Software-Firewall.

Helfen euch diese Infos um mir weiterzuhelfen?
Gruß
Bitte warten ..
Mitglied: dannyx14
24.06.2010 um 13:07 Uhr
Ich habe mir übrigens mal die ZyWall 100 angeschaut und die Beschreibung hört sich gut an. Allein die Netzwerkkonektivität umfasst Werte, die wir nie erreichen werden
Der Vorteil, dass die Firewall schon Viren abwehrt, ist dass Sie schon bevor sie auf dem Computer landen eliminiert werden, oder? Ist halt die Frage, ob das bei guten Antivirusprogrammen auf den Computern nötig ist.
Bitte warten ..
Mitglied: 2hard4you
24.06.2010 um 16:13 Uhr
Zitat von dannyx14:
Ist halt die Frage, ob das bei guten Antivirusprogrammen auf den Computern nötig ist.

ja - denn kein Proggi kann 100 % Sicherheit versprechen - der ClientPC ist halt nur last line of defense

Gruß

24
Bitte warten ..
Mitglied: harald21
25.06.2010 um 08:28 Uhr
Hallo,

für den Preis solltest du bereits eine der kleineren Fortigates (FG-50B oder FG-60B) erhalten, da hast du Firewall, Antivirus, AntiSPAM, IDS/IPS, und Support für 1 Jahr bereits enthalten. Die Performance ist wirklich gut und das übersichtliche Webinterface ist auch für Einsteiger gut konfigurierbar.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: dannyx14
28.06.2010 um 10:21 Uhr
Ok, danke für die Tipps. Ich werde jetzt mal ein bisschen Preise vergleichen.
Bitte warten ..
Mitglied: edepfau
28.06.2010 um 16:29 Uhr
Die kleine Fortigate FG-50B ist absolut für Deinen Zweck geeignet.
Im Gegensatz zu vielen anderen FWs im Einstiegssegment kann sie auch verschlüsselten Verkehr AV-scannen (https, SMTPs, IMAPs, POP3s). Und das mit Hardware-Unterstützung. Gerade Mail wird ja eigentlich nicht mehr ohne Authentifizierung verschickt. (Natürlich soll das keinen PC-Scanner ersetzen, aber es ist ein beruhigendes Gefühl, wenn man auch "ohne" geschützt ist.)

Und das ist nur ein Feature von vielen, die in 500€ enthalten sind. Überhaupt ist das Lizenzmodell bei Fortinet sehr einfach: alle Netze, alle Dienste, alle features sind mit der HW bereits bezahlt. Die AV- und IDS-Signaturen kosten natürlich jährlich Abogebühren, wie überall.

Evtl. würde ich darauf achten, zusammen mit der Fortigate einen Vorab-Austauschvertrag zu kaufen, für Next-Business Day. Kommt dann aus bzw. zu einem Lager in Deutschland. Ansonsten muss sie nämlich nach Nizza.

Ich habe hier im Büro selbst eine 50B und kann mich darauf voll verlassen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
Mehrere Hardware Firewalls (10)

Frage von cerberus90 zum Thema LAN, WAN, Wireless ...

Server-Hardware
gelöst Hilfe bei einer Server (Hardware) auswahl (30)

Frage von bjk190368 zum Thema Server-Hardware ...

TK-Netze & Geräte
PfSense auf welcher Hardware sinnvoll nutzbar? (7)

Frage von cerberus90 zum Thema TK-Netze & Geräte ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...