Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HA-Firewall mit guter Regelwerkspflege - reine SIF

Frage Netzwerke Router & Routing

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

13.05.2013 um 09:31 Uhr, 2006 Aufrufe, 4 Kommentare

Hallo!

Ich habe eine interne Firewall, die routet und filtert zwischen derzeit 18 VLANs/Netzen.
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.

Das Regelwerk habe ich schon seit Jahren mit dem "Firewallbuilder" gepflegt und als Firewall ein Linux-System eingesetzt. Damit bin ich auch wirklich sehr zufrieden, aber Firewallbuilder/FWBuilder wird nicht mehr weiter entwickelt.

Kennt ihr irgendeine Alternative?
Wichtig ist vor allem die übersichtliche Pflege der Regeln mit verlinkten Objekten, da ich sonst das Regelwerk nur schwer überblicke. Derzeit wird von einem "Grundregelwerk" je nach Netz in eine andere "Sub-Policy" verwiesen. Kennt ihr noch eine andere Software, die das kann, oder könnt ihr mir eine Firewall-Appliance empfehlen, die diese Funktionen gut bietet.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.

Vielen Dank für eure Tipps!

Grüße
Phil
Mitglied: Dobby
13.05.2013 um 10:11 Uhr
Hallo,

Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Ich würde dann aber lieber dazu übergehen den LAN Verkehr durch einen Layer3 Switch erledigen zu lassen und
die Switche so weit wie möglich zu stapeln! Und die Firewall nur noch den WAN - LAN und WAN - DMZ Verkehr
routen zu lassen. Am besten für so etwas sind wohl auch nicht blockierende Switche die gestapelt werden können.

Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
OpenBSD würde mir da spontan einfallen! Dort wird via CARP, arpbalance angeboten und man kann
ähnlich wie bei einem VRRP Setup auch eine virtuelle MAC Adresse vergeben und dann man die Netzwerklast
sogar über die beiden Firewalls ausbalancieren, also sprich Geräte basierend!!!
Fällt eine Firewall aus, wird die andere auch automatisch zum Master!
Unix ist nicht Linux, aber man kann es sich ja einmal anschauen, denn das OpenBSD kann man auch gut "härten" für den Einsatz als Gateway.

Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
- IPFire
- IPCop

Gruß
Dobby
Bitte warten ..
Mitglied: dog
13.05.2013, aktualisiert um 17:03 Uhr
Also eine netfilter-basierte Firewall mit vernünftiger Konfiguration...da fällt mir am ehesten Mikrotik ein.
Mit dem CCR haben die jetzt auch ein Produkt was Gigabit Wirespeed routen können soll - bzw. kann man das OS auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).

HA ist prinzipiell auch möglich, wenn man VRRP benutzt - allerdings gibt es von Haus aus keine automatische Möglichkeit die Konfiguration zu synchronisieren.
Und die CCR sind derzeit eher noch "Open Beta".

Die MT-Firewall kannst du dir übrigens angucken, wenn du die Winbox runterlädst http://download2.mikrotik.com/winbox.exe und dich mit demo.mt.lv verbindest.

Ansonsten haben die Cisco ASAs über den SDM noch eine halbwegs verständliche Firewall-Konfiguration.
Von Cisco IOS würde ich aber abraten, mit der Zone-Based Firewall (die einzige zeitgemäße Firewall in IOS) hat man gleich 50 Zeilen Statements ohne nur eine produktive Regel geschrieben zu haben.
Bitte warten ..
Mitglied: Dobby
13.05.2013 um 21:58 Uhr
auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
Schau mal hier auf Seite 35 nach bitte! MikroTik New Hardware Dort wird ein CCR-1036-8G-2S+ angekündigt, mit 2 SFP+ Schnittstellen.

Und die CCR sind derzeit eher noch "Open Beta".
Jo leider noch, die Hardware bleibt aber wie sie ist, aber die Software RouterOS ist noch nicht so der Bringer für dieses Modell oder bzw. für die ganze CCR Serie, es hakt an allen Ecken und Kanten.

Ist aber auch der internen Firmenpolitik geschuldet, man kann seine Programmierer bei Tilera für Schulungen anmelden, $ 3000 für 3 Tage, na rate mal ob die alle da waren.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
14.05.2013 um 08:11 Uhr
Hallo!

Mikrotik setze ich schon sehr häufig ein (derzeit so 40 Geräte), aber so wirklich glücklich bin ich mit der Firewallkonfiguration nicht.

Ich schätze an FWBuilder einfach, dass man Objekte hat, die verlinkt werden. Ich finde, das spart viel Zeit und erhält den Überblick. Auch die verschiedenen Policies sind schön getrennt.

Grüße
Phil
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (8)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...