Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HA-Firewall mit guter Regelwerkspflege - reine SIF

Frage Netzwerke Router & Routing

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

13.05.2013 um 09:31 Uhr, 2029 Aufrufe, 4 Kommentare

Hallo!

Ich habe eine interne Firewall, die routet und filtert zwischen derzeit 18 VLANs/Netzen.
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.

Das Regelwerk habe ich schon seit Jahren mit dem "Firewallbuilder" gepflegt und als Firewall ein Linux-System eingesetzt. Damit bin ich auch wirklich sehr zufrieden, aber Firewallbuilder/FWBuilder wird nicht mehr weiter entwickelt.

Kennt ihr irgendeine Alternative?
Wichtig ist vor allem die übersichtliche Pflege der Regeln mit verlinkten Objekten, da ich sonst das Regelwerk nur schwer überblicke. Derzeit wird von einem "Grundregelwerk" je nach Netz in eine andere "Sub-Policy" verwiesen. Kennt ihr noch eine andere Software, die das kann, oder könnt ihr mir eine Firewall-Appliance empfehlen, die diese Funktionen gut bietet.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.

Vielen Dank für eure Tipps!

Grüße
Phil
Mitglied: Dobby
13.05.2013 um 10:11 Uhr
Hallo,

Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Ich würde dann aber lieber dazu übergehen den LAN Verkehr durch einen Layer3 Switch erledigen zu lassen und
die Switche so weit wie möglich zu stapeln! Und die Firewall nur noch den WAN - LAN und WAN - DMZ Verkehr
routen zu lassen. Am besten für so etwas sind wohl auch nicht blockierende Switche die gestapelt werden können.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
OpenBSD würde mir da spontan einfallen! Dort wird via CARP, arpbalance angeboten und man kann
ähnlich wie bei einem VRRP Setup auch eine virtuelle MAC Adresse vergeben und dann man die Netzwerklast
sogar über die beiden Firewalls ausbalancieren, also sprich Geräte basierend!!!
Fällt eine Firewall aus, wird die andere auch automatisch zum Master!
Unix ist nicht Linux, aber man kann es sich ja einmal anschauen, denn das OpenBSD kann man auch gut "härten" für den Einsatz als Gateway.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
- IPFire
- IPCop

Gruß
Dobby
Bitte warten ..
Mitglied: dog
13.05.2013, aktualisiert um 17:03 Uhr
Also eine netfilter-basierte Firewall mit vernünftiger Konfiguration...da fällt mir am ehesten Mikrotik ein.
Mit dem CCR haben die jetzt auch ein Produkt was Gigabit Wirespeed routen können soll - bzw. kann man das OS auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).

HA ist prinzipiell auch möglich, wenn man VRRP benutzt - allerdings gibt es von Haus aus keine automatische Möglichkeit die Konfiguration zu synchronisieren.
Und die CCR sind derzeit eher noch "Open Beta".

Die MT-Firewall kannst du dir übrigens angucken, wenn du die Winbox runterlädst http://download2.mikrotik.com/winbox.exe und dich mit demo.mt.lv verbindest.

Ansonsten haben die Cisco ASAs über den SDM noch eine halbwegs verständliche Firewall-Konfiguration.
Von Cisco IOS würde ich aber abraten, mit der Zone-Based Firewall (die einzige zeitgemäße Firewall in IOS) hat man gleich 50 Zeilen Statements ohne nur eine produktive Regel geschrieben zu haben.
Bitte warten ..
Mitglied: Dobby
13.05.2013 um 21:58 Uhr
auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
Schau mal hier auf Seite 35 nach bitte! MikroTik New Hardware Dort wird ein CCR-1036-8G-2S+ angekündigt, mit 2 SFP+ Schnittstellen.

Und die CCR sind derzeit eher noch "Open Beta".
Jo leider noch, die Hardware bleibt aber wie sie ist, aber die Software RouterOS ist noch nicht so der Bringer für dieses Modell oder bzw. für die ganze CCR Serie, es hakt an allen Ecken und Kanten.

Ist aber auch der internen Firmenpolitik geschuldet, man kann seine Programmierer bei Tilera für Schulungen anmelden, $ 3000 für 3 Tage, na rate mal ob die alle da waren.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
14.05.2013 um 08:11 Uhr
Hallo!

Mikrotik setze ich schon sehr häufig ein (derzeit so 40 Geräte), aber so wirklich glücklich bin ich mit der Firewallkonfiguration nicht.

Ich schätze an FWBuilder einfach, dass man Objekte hat, die verlinkt werden. Ich finde, das spart viel Zeit und erhält den Überblick. Auch die verschiedenen Policies sind schön getrennt.

Grüße
Phil
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Windows Server
gelöst HA Cluster managen vom Domain-Controller? (2)

Frage von 1410640014 zum Thema Windows Server ...

Batch & Shell
gelöst Windows 10 1607 Firewall Context Menü (4)

Frage von Bugger zum Thema Batch & Shell ...

Windows Server
Windows Server Firewall - Wie macht ihr das? (14)

Frage von twisters zum Thema Windows Server ...

Heiß diskutierte Inhalte
Exchange Server
Test-ActiveSyncConnectivity Error nach neuem Zertifikat (17)

Frage von Driphex zum Thema Exchange Server ...

Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...