Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Welche Hardware Firewall für zweistufiges Firewall Konzept?

Frage Sicherheit Firewall

Mitglied: Funker112

Funker112 (Level 1) - Jetzt verbinden

23.01.2009, aktualisiert 17:47 Uhr, 12040 Aufrufe, 14 Kommentare

Hallo zusammen,

wir wollen bei uns in der Firma eine zweistufige Firewall (Hardware) installieren.
Vom Aufbau her ist geplant das der DSL Zugang erst auf Firewall 1 geht von da aus in die DMZ und danach auf Firewall 2, diese ist dann mit dem Firmennetz verbunden.
Soweit so gut. Firewall 2 ist eine Astaro 220.
Da man bei eine Zweistufigen Firewall System auch Unterschiedliche Hersteller nehmen soll,
ist meine Frage nun welche Hersteller könnt ihr für dieses Vorhaben empfehlen.
Des weiteren sollen noch 5 VPN Verbindungen aufgebaut werden. (Alle Gegenstellen haben feste IP Adressen). Was macht mehr Sinn die Verbindungen in Firewall 1 oder Firewall 2 zu verwalten.
Meine Idee wäre die IP Adressen der Gegenstellen in Firewall 1 zu hinterlegen und nur die eingetragenen Adressen weiter auf Firewall 2 zu Routen.

Danke für eure Tipps.

Gruß

Funker
Mitglied: Arch-Stanton
23.01.2009 um 18:56 Uhr
Das Konzept hat einen konzeptionellen Fehler. Der Sinn einer DMZ ist, daß der Verkehr in die DMZ vom Lan und vom Wan erlaubt ist, es darf aber keine Zugriffsmöglichkeit von der DMZ in das Lan geben.

Kauf Dir eine anständige Lancom Firewall, lege sechshundert Euro auf den Tisch und die Sache ist gelöst. das VPN von Lancom funktioniert prima.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 18:59 Uhr
Entweder LANCOM oder was wir bei uns im Einsatz haben und was auch sehr mächtig ist, eine Appliance von WatchGuard. Sind rundum zufrieden mit und die Art und Weise wie was eingestellt wird und vor allem die Möglichkeiten sind einfach phänomenal.
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 19:08 Uhr
Hallo Arch Stanton,

da gebe ich dir vollkommen recht, es ist aber keine klassiche DMZ sondern wurde von mir nur so bezeichnet ich meine eigentlich den Bereich zwichen Firewall 1 und 2.
Es werden keine Web oder Mailserver betrieben also keine klassiche DMZ.
Bleibt die Frage welche Firewall macht am besten VPN Firewall 1 oder 2 ?

Danke schonmal allen die geantwortet haben!!!
Bitte warten ..
Mitglied: Arch-Stanton
23.01.2009 um 19:21 Uhr
Ich denke, daß Du Dir durch dieses Konzept mehr Probleme als Nutzen einhandelst, wenn Du es zum Laufen bringst.

Gruß,
Arch Stanton
Bitte warten ..
Mitglied: brammer
23.01.2009 um 20:48 Uhr
Hallo,

leider habe ich den Sinn dieses Konstruktes noch nicht so richtig begriffen.
Wozu baust du eine DMZ auf und benutzt sie dann nicht?

Wenn du deine Firewall nur nicht direkt ins Internet hängen willst (wieso auch immer) würde ich mir den Aufwand einer Firewall sparen und einen Router davor hängen.

Was die VPN Anbindung angeht stellt sich mir die Frage ob du SSL oder IPsec verwenden willst.

brammer
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 20:54 Uhr
Hallo brammer,

DMZ ist einfach unglücklich gewählt als Name, es geht darum das in näherer Zukunft noch ein zweiter DSL Zugang dazu kommen soll. Ich wollte das ganze dann so haben, das beide Zugänge erstmal eine Firewall durchlaufen und dann noch mal eine zweite Firewall Passieren müßen einfach aus Sicherheitsgründen.
Was VPN angeht so ist es IPsec.

Gruß

Funker
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:02 Uhr
Ich würde ebenfalls von einer zweiten Firewall abraten, du handelst dir damit mehr Probleme ein als es dir nützt. Wie stellst du dir das mit dem zweiten DSL-Zugang genau vor? Soll der ausgehende Datenverkehr auf beide Zugänge verteilt werden (Stichwort: Multi-WAN)?
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 21:08 Uhr
EIn Zugang ist nur für kommend (VPN) und einer ist nur für Internet. Also bin ich eurer Meinung nach genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:15 Uhr
Schau dir z.B. mal die Geräte von WatchGuard an (ab der X Core 750e aufwärts). Es hängt davon ab, was du für eine Firewall nimmst. Wie oben schon erwähnt, wir setzen bei uns eine von WatchGuard ein. Mit einer UTM-Lizenz (Unified Threat Management) kannst du mit dem nötigen Know-How daraus eine richtige Festung bauen, die nur schwer zu überwinden ist. Außerdem kann sie dir beide DSL-Zugänge "bündeln", sodass du den VPN-Zugang ohne Probleme als zweiten ausgehenden Internetzugang nutzen kannst. Die Möglichkeiten der Geräte sind gewaltig, man kann damit ganze Bücher füllen. Wo es halt hapern könnte, ist der Preis. Für unser Modell fängst du inklusive UTM-Lizenz, 1-Jahr LiveSecurity und Fireware Pro nicht unter 3000 Euro an.
Bitte warten ..
Mitglied: Funker112
23.01.2009 um 21:19 Uhr
Danke für den Tipp die Astaro ist auch gut lief bis jetzt ohne Probleme. Das Geld ist auch nicht das Thema. Unserem Chef geht es nur um Sicherheit, da wir im Medizinichen Bereich demnächst auch Patientendaten haben.
Bitte warten ..
Mitglied: diemilz
23.01.2009 um 21:21 Uhr
Mit Astaro kenne ich mich nicht aus. Ich kenne die Geräte von WatchGuard nun schon seit vier Jahren. Die Dinger zu konfigurieren macht richtig Spaß und vor allem damit Leute zu ärgern, die meinen, sie müssten sich nicht an Regeln halten, z.B. dass Instant Messaging nicht erlaubt ist.
Bitte warten ..
Mitglied: Rafiki
24.01.2009 um 15:33 Uhr
...genau so sicher mit einer Firewall bzw. noch sicherer als mit zweien ?

Jaein. Also Ja, ähm ich meine Nein. Bis auf ganz wenige Ausnahmen würde ich immer nur eine Firewall einsetzten. Es schafft mehr Probleme als Sicherheit zwei Firwalls hintereinander zu betreiben.

Hier am Beispiel der VPN Benutzer:

Wenn die zweite Firewall VPN Clients annehmen soll dann muss die erste Firewall den Traffic zu der zweiten durchlassen und schützt die zweite Firewall damit nicht mehr. Wenn mal ein VPN Benutzer sagt da hat "irgend etwas" nicht funktioniert kannst du spekulieren ob evtl. die erste Firewall schuld war oder eigentlich auch nicht. Du handelst dir also eine zusätzliche Fehlerquelle ein ohne mehr Schutz zu erreichen.

Wenn die erste Firewall den VPN Client annehmen soll dann muss die zweite Firewall den Datenverkehr aus der DMZ, die du nicht DMZ nennen möchtest, durchlassen ins LAN. So etwas tut man nicht, denn dann braucht du die zweite Firewall nicht mehr.

Entsprechendes gilt für andere Protokolle.

Eine der wenigen Ausnahmen mag die Firewall "ISA Server" von Microsoft sein. MS selber sagt man solle eine einfache, hochperformante Firewall davor schalten um unnötigen Traffic ab zu filtern.
Bitte warten ..
Mitglied: Rafiki
24.01.2009 um 16:01 Uhr
Medizinbereich... Patientendaten ...

Ich nehme einfach mal an, dass ihr ein großes Netzwerk habt in dem viele Computer unterschiedliche Aufgaben haben. Halt ein normales Büro & Labor. Einige wenige Mitarbeiter und Computer sollen mit diesen sensiblen Daten (Patientendaten) umgehen. Ich rate euch dazu einen eigenen Bereich innerhalb von eurem Netzwerk nur für diese Daten und Mitarbeiter einzurichten.

Beachte bitte den Artikel bei Heise für ein Beispiel.
http://www.heise.de/netze/artikel/78397

Im Bezug auf den Artikel und das Bild in dem Artikel wäre also in deiner Konfiguration der größte Teil vom Netzwerk hinter der ersten Firewall. Nur Daten, die anonymisiert wurden, dürfen dort verarbeitet werden. In der Regel werden dafür die Proben und Papierberge mit einem Barcode Aufkleber versehen. Detaillierte Angaben (Name, geb Datum, Krankenkassen) zum Patienten sind aber tabu.

Nur in dem besonders geschützten Bereich darf es eine Verbindung zwischen Patientennamen und seiner Probennummer auf dem Barcode geben. Das ist dann der Bereich hinter der zweiten Firewall. Möglicherweise müsst ihr sogar noch weiter gehen, denn kein Mitarbeiter im Labor darf erfahren wessen Probe gerade analysiert wird. Kein Mitarbeiter in der Verwaltung(Buchhaltung) darf das Analyseergebnis erfahren. Also Trenne auch diese Bereiche durch Türen, Vorschriften und Firewalls.

Wenn ihr Auditiert werdet, also eine Behörde prüft ob ihr anständig arbeitet, wird es in der Regel schwierig denen zu erklären das ein EDV Admin in allen diesen Bereichen die Backups macht und die Berechtigungen verwaltet. Aber das ist ein anderes Thema jenseits der ursprünglichen Frage nach der Firewall.
Bitte warten ..
Mitglied: spacyfreak
28.01.2009 um 04:07 Uhr
Meine Meinung:
Die Astaro 220 wird völlig ausreichen für kleinere Firmen, eine sehr schicke und umfassende Lösung die zudem noch einfach zu bedienen ist, incl. VPN und kompletter Firewall. Bei einer relativ geringen Userzahl und einer Handvoll VPNs hast du damit alles abgedeckt und es funktioniert recht gut. #
Eine zweite Firewall im Intranet macht dagegen Sinn um z. B. besonders sensible Netze vor dem Rest des Intranets zu schützen, zum Schutz vor dem Internet selbst ist ein 2-Stufen Konzept dagegen übertrieben.

Wenns unbedingt zwei Hersteller sein sollen würd ich wohl ASG und ne Cisco ASA nehmen, die Grösse hängt von den Userzahlen ab.
Bitte warten ..
Ähnliche Inhalte
Firewall
Zweistufige pfsense Firewall auf VMWare sinnvoll
Frage von Otto1699Firewall6 Kommentare

Hallo, ich möchte einen Webserver ins Netz (DMZ) stellen. Ist eine zweistufige pfsense Firewall auf VMWare sinnvoll, sprich zweimal ...

Backup
(Hardware) Backup Konzept für KMUs
Frage von DenBirBackup21 Kommentare

Hallo zusammen, ich hätte gerne von Euch "alten Hasen" ein paar Erfahrungswerte. Mir geht es nicht um die Software ...

Router & Routing
Hardware Firewall Gesucht
Frage von PPR-DevRouter & Routing19 Kommentare

Hallo Zusammen Ich suche momentan eine kleine Hardware firewall fürs Heimnetz und Büro ink. Server. Wobei Heimnetz und Büro ...

LAN, WAN, Wireless
Mehrere Hardware Firewalls
Frage von cerberus90LAN, WAN, Wireless10 Kommentare

Hallo, nach längerem lesen auf diesem Portal muss ich nun doch auch mal selbst eine Frage stellendenkt ihr es ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 50 MinutenDSL, VDSL

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 1 StundeWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 4 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...