Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Welche Hardware Firewall für zweistufiges Firewall Konzept?

Frage Sicherheit Firewall

Mitglied: Funker112

Funker112 (Level 1) - Jetzt verbinden

23.01.2009, aktualisiert 17:47 Uhr, 11472 Aufrufe, 14 Kommentare

Hallo zusammen,

wir wollen bei uns in der Firma eine zweistufige Firewall (Hardware) installieren.
Vom Aufbau her ist geplant das der DSL Zugang erst auf Firewall 1 geht von da aus in die DMZ und danach auf Firewall 2, diese ist dann mit dem Firmennetz verbunden.
Soweit so gut. Firewall 2 ist eine Astaro 220.
Da man bei eine Zweistufigen Firewall System auch Unterschiedliche Hersteller nehmen soll,
ist meine Frage nun welche Hersteller könnt ihr für dieses Vorhaben empfehlen.
Des weiteren sollen noch 5 VPN Verbindungen aufgebaut werden. (Alle Gegenstellen haben feste IP Adressen). Was macht mehr Sinn die Verbindungen in Firewall 1 oder Firewall 2 zu verwalten.
Meine Idee wäre die IP Adressen der Gegenstellen in Firewall 1 zu hinterlegen und nur die eingetragenen Adressen weiter auf Firewall 2 zu Routen.

Danke für eure Tipps.

Gruß

Funker
Mitglied: Arch-Stanton
23.01.2009 um 18:56 Uhr
Das Konzept hat einen konzeptionellen Fehler. Der Sinn einer DMZ ist, daß der Verkehr in die DMZ vom Lan und vom Wan erlaubt ist, es darf aber keine Zugriffsmöglichkeit von der DMZ in das Lan geben.

Kauf Dir eine anständige Lancom Firewall, lege sechshundert Euro auf den Tisch und die Sache ist gelöst. das VPN von Lancom funktioniert prima.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 18:59 Uhr
Entweder LANCOM oder was wir bei uns im Einsatz haben und was auch sehr mächtig ist, eine Appliance von WatchGuard. Sind rundum zufrieden mit und die Art und Weise wie was eingestellt wird und vor allem die Möglichkeiten sind einfach phänomenal.
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 19:08 Uhr
Hallo Arch Stanton,

da gebe ich dir vollkommen recht, es ist aber keine klassiche DMZ sondern wurde von mir nur so bezeichnet ich meine eigentlich den Bereich zwichen Firewall 1 und 2.
Es werden keine Web oder Mailserver betrieben also keine klassiche DMZ.
Bleibt die Frage welche Firewall macht am besten VPN Firewall 1 oder 2 ?

Danke schonmal allen die geantwortet haben!!!
Bitte warten ..
Mitglied: Arch-Stanton
23.01.2009 um 19:21 Uhr
Ich denke, daß Du Dir durch dieses Konzept mehr Probleme als Nutzen einhandelst, wenn Du es zum Laufen bringst.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: brammer
23.01.2009 um 20:48 Uhr
Hallo,

leider habe ich den Sinn dieses Konstruktes noch nicht so richtig begriffen.
Wozu baust du eine DMZ auf und benutzt sie dann nicht?

Wenn du deine Firewall nur nicht direkt ins Internet hängen willst (wieso auch immer) würde ich mir den Aufwand einer Firewall sparen und einen Router davor hängen.

Was die VPN Anbindung angeht stellt sich mir die Frage ob du SSL oder IPsec verwenden willst.

brammer
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 20:54 Uhr
Hallo brammer,

DMZ ist einfach unglücklich gewählt als Name, es geht darum das in näherer Zukunft noch ein zweiter DSL Zugang dazu kommen soll. Ich wollte das ganze dann so haben, das beide Zugänge erstmal eine Firewall durchlaufen und dann noch mal eine zweite Firewall Passieren müßen einfach aus Sicherheitsgründen.
Was VPN angeht so ist es IPsec.

Gruß

Funker
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:02 Uhr
Ich würde ebenfalls von einer zweiten Firewall abraten, du handelst dir damit mehr Probleme ein als es dir nützt. Wie stellst du dir das mit dem zweiten DSL-Zugang genau vor? Soll der ausgehende Datenverkehr auf beide Zugänge verteilt werden (Stichwort: Multi-WAN)?
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 21:08 Uhr
EIn Zugang ist nur für kommend (VPN) und einer ist nur für Internet. Also bin ich eurer Meinung nach genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:15 Uhr
Schau dir z.B. mal die Geräte von WatchGuard an (ab der X Core 750e aufwärts). Es hängt davon ab, was du für eine Firewall nimmst. Wie oben schon erwähnt, wir setzen bei uns eine von WatchGuard ein. Mit einer UTM-Lizenz (Unified Threat Management) kannst du mit dem nötigen Know-How daraus eine richtige Festung bauen, die nur schwer zu überwinden ist. Außerdem kann sie dir beide DSL-Zugänge "bündeln", sodass du den VPN-Zugang ohne Probleme als zweiten ausgehenden Internetzugang nutzen kannst. Die Möglichkeiten der Geräte sind gewaltig, man kann damit ganze Bücher füllen. Wo es halt hapern könnte, ist der Preis. Für unser Modell fängst du inklusive UTM-Lizenz, 1-Jahr LiveSecurity und Fireware Pro nicht unter 3000 Euro an.
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 21:19 Uhr
Danke für den Tipp die Astaro ist auch gut lief bis jetzt ohne Probleme. Das Geld ist auch nicht das Thema. Unserem Chef geht es nur um Sicherheit, da wir im Medizinichen Bereich demnächst auch Patientendaten haben.
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:21 Uhr
Mit Astaro kenne ich mich nicht aus. Ich kenne die Geräte von WatchGuard nun schon seit vier Jahren. Die Dinger zu konfigurieren macht richtig Spaß und vor allem damit Leute zu ärgern, die meinen, sie müssten sich nicht an Regeln halten, z.B. dass Instant Messaging nicht erlaubt ist.
Bitte warten ..
Mitglied: Rafiki
24.01.2009 um 15:33 Uhr
...genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?

Jaein. Also Ja, ähm ich meine Nein. Bis auf ganz wenige Ausnahmen würde ich immer nur eine Firewall einsetzten. Es schafft mehr Probleme als Sicherheit zwei Firwalls hintereinander zu betreiben.

Hier am Beispiel der VPN Benutzer:

Wenn die zweite Firewall VPN Clients annehmen soll dann muss die erste Firewall den Traffic zu der zweiten durchlassen und schützt die zweite Firewall damit nicht mehr. Wenn mal ein VPN Benutzer sagt da hat "irgend etwas" nicht funktioniert kannst du spekulieren ob evtl. die erste Firewall schuld war oder eigentlich auch nicht. Du handelst dir also eine zusätzliche Fehlerquelle ein ohne mehr Schutz zu erreichen.

Wenn die erste Firewall den VPN Client annehmen soll dann muss die zweite Firewall den Datenverkehr aus der DMZ, die du nicht DMZ nennen möchtest, durchlassen ins LAN. So etwas tut man nicht, denn dann braucht du die zweite Firewall nicht mehr.

Entsprechendes gilt für andere Protokolle.

Eine der wenigen Ausnahmen mag die Firewall "ISA Server" von Microsoft sein. MS selber sagt man solle eine einfache, hochperformante Firewall davor schalten um unnötigen Traffic ab zu filtern.
Bitte warten ..
Mitglied: Rafiki
24.01.2009 um 16:01 Uhr
Medizinbereich... Patientendaten ...

Ich nehme einfach mal an, dass ihr ein großes Netzwerk habt in dem viele Computer unterschiedliche Aufgaben haben. Halt ein normales Büro & Labor. Einige wenige Mitarbeiter und Computer sollen mit diesen sensiblen Daten (Patientendaten) umgehen. Ich rate euch dazu einen eigenen Bereich innerhalb von eurem Netzwerk nur für diese Daten und Mitarbeiter einzurichten.

Beachte bitte den Artikel bei Heise für ein Beispiel.
http://www.heise.de/netze/artikel/78397

Im Bezug auf den Artikel und das Bild in dem Artikel wäre also in deiner Konfiguration der größte Teil vom Netzwerk hinter der ersten Firewall. Nur Daten, die anonymisiert wurden, dürfen dort verarbeitet werden. In der Regel werden dafür die Proben und Papierberge mit einem Barcode Aufkleber versehen. Detaillierte Angaben (Name, geb Datum, Krankenkassen) zum Patienten sind aber tabu.

Nur in dem besonders geschützten Bereich darf es eine Verbindung zwischen Patientennamen und seiner Probennummer auf dem Barcode geben. Das ist dann der Bereich hinter der zweiten Firewall. Möglicherweise müsst ihr sogar noch weiter gehen, denn kein Mitarbeiter im Labor darf erfahren wessen Probe gerade analysiert wird. Kein Mitarbeiter in der Verwaltung(Buchhaltung) darf das Analyseergebnis erfahren. Also Trenne auch diese Bereiche durch Türen, Vorschriften und Firewalls.

Wenn ihr Auditiert werdet, also eine Behörde prüft ob ihr anständig arbeitet, wird es in der Regel schwierig denen zu erklären das ein EDV Admin in allen diesen Bereichen die Backups macht und die Berechtigungen verwaltet. Aber das ist ein anderes Thema jenseits der ursprünglichen Frage nach der Firewall.
Bitte warten ..
Mitglied: spacyfreak
28.01.2009 um 04:07 Uhr
Meine Meinung:
Die Astaro 220 wird völlig ausreichen für kleinere Firmen, eine sehr schicke und umfassende Lösung die zudem noch einfach zu bedienen ist, incl. VPN und kompletter Firewall. Bei einer relativ geringen Userzahl und einer Handvoll VPNs hast du damit alles abgedeckt und es funktioniert recht gut. #
Eine zweite Firewall im Intranet macht dagegen Sinn um z. B. besonders sensible Netze vor dem Rest des Intranets zu schützen, zum Schutz vor dem Internet selbst ist ein 2-Stufen Konzept dagegen übertrieben.

Wenns unbedingt zwei Hersteller sein sollen würd ich wohl ASG und ne Cisco ASA nehmen, die Grösse hängt von den Userzahlen ab.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
gelöst Hardware Firewall vs. Router OS (3)

Frage von PharIT zum Thema Firewall ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Server-Hardware
gelöst Hilfe bei einer Server (Hardware) auswahl (30)

Frage von bjk190368 zum Thema Server-Hardware ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...