11
Anordnung von Firewall und Router in einem Unternehmensnetzwerk
Hallo,
wollte mal nachfragen, in welcher Reihenfolge man Firewall und Router grundsätzlich in einem Unternehmensnetzwerk aufbaut.
Ich hab mir das folgendermaßen vorgestellt:
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --
...wäre dies so richtig? Bzw. wird dieses Konzept in Unternehmen häufig so verwendet?
Wenn ja, dann wäre ja aber die Firewall kein reines Firewallprodukt, weil dazu müsste sie ja auch routen können, entweder zum nächsten Router oder gleich zum ISP ?? Aber dann würde ja auch der letzte Router wegfallen, und die Firewall könnte direkt zum ISP routen??
Oder hab ich da Denkfehler in meiner Vorstellung?
Danke für die Antworten!
Gruß
wollte mal nachfragen, in welcher Reihenfolge man Firewall und Router grundsätzlich in einem Unternehmensnetzwerk aufbaut.
Ich hab mir das folgendermaßen vorgestellt:
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --
...wäre dies so richtig? Bzw. wird dieses Konzept in Unternehmen häufig so verwendet?
Wenn ja, dann wäre ja aber die Firewall kein reines Firewallprodukt, weil dazu müsste sie ja auch routen können, entweder zum nächsten Router oder gleich zum ISP ?? Aber dann würde ja auch der letzte Router wegfallen, und die Firewall könnte direkt zum ISP routen??
Oder hab ich da Denkfehler in meiner Vorstellung?
Danke für die Antworten!
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206137
Url: https://administrator.de/forum/anordnung-von-firewall-und-router-in-einem-unternehmensnetzwerk-206137.html
Ausgedruckt am: 08.04.2025 um 22:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
ich habe es meistens so aufgebaut:
PC1 -- Subnetz1 --
. . . . . . . . . . . . . . . . -- Layer 3 Switch -- (Sub Netz 3) -- Firewall -- ISP
PC2 -- Subnetz2 --
Gruß
ich habe es meistens so aufgebaut:
PC1 -- Subnetz1 --
. . . . . . . . . . . . . . . . -- Layer 3 Switch -- (Sub Netz 3) -- Firewall -- ISP
PC2 -- Subnetz2 --
Gruß
Wo steht bei Dir das DMZ?
LG,
ticuta1
LG,
ticuta1
Hallo,
i.d.r routen Firewalls auch. Außerdem ist es so, dass du oftmals nichtmal mehr einen Router benötigst, sondern nur noch ein Modem.
Dh. Firewall/UTM (loggt sich per Modem ins Internet ein) -> Modem -> Internet (ISP)
VG
i.d.r routen Firewalls auch. Außerdem ist es so, dass du oftmals nichtmal mehr einen Router benötigst, sondern nur noch ein Modem.
Dh. Firewall/UTM (loggt sich per Modem ins Internet ein) -> Modem -> Internet (ISP)
VG
Zitat von @teret4242:
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --
PC1 -- Subnetz1 (Switch) --
. . . . . . . . . . . . . . . . . . . . . . . . . -- Router -- Firewall -- Router -- ISP
PC2 -- Subnetz2 (Switch) --
So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.
heutzutage sind haben Firewall-Appliances auch routerfunktionalität, daß man i.d.R. keine zusätzlichen Router benötigt außer dem den ggf. der Provider hinstellt, weil der das unter seiner Kontrolle haben will.
lks
So hat man früher (TM), vor etwa 25 jahren, Firewallkonzepte aufgebaut, als Router nur routen konnten und firewalls mit den
Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.
Aplication-Layer-Proxies ausgelastet waren und keine zeit fürs routing hatten.
Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der Firewall zum nächsten Router (ISP) gekommen?
Über die Definition der entsprechenden Gateways. Vereinfacht wie bei einem PC, der auf das entfernte Ziel x zugreifen möchte.
Zitat von @teret4242:
Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der
Firewall zum nächsten Router (ISP) gekommen?
Okay, aber wenn wie in meinem Fall dargestellt die Firewalls damals nicht routen konnten, wie sind dann die Datenpakete von der
Firewall zum nächsten Router (ISP) gekommen?
Per default route. Wie bei den heutigen Rechnern auch.
Die Firewalls von damals waren nichts anderes als proxies für diverse Anwendungen. (smtp, http, ftp, etc.). (erst selbstgeschriebene scripten und programme, später dann tis, fwtk, gauntlet und wie sie noch hießen). d.h. im wesentlich ein Server der in einer neutralen zone stand und alle im LAn mußten mit diesem reden udn dieser redete mit der Außenwelt.
Die Pakete fürde dann per sttischer und default route zugestellt.
Inzwischen ist die hardware leistungsfähig genug, daß man verschiedene Sachen zusammenfassen kann, wobei es aber imerm noch sinnvoll sein kann, deine obige Struktur zu nehmen. kommt einfach auf die Anforderungen an.
lks
Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so richtig
?Zitat von @teret4242:
Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so
richtig ?
Okay, dann muss hierzu aber die Firewall im gleichen Netz sein wie der Router auch, sonst wär es routing seh ich das so
richtig
?Nein, das wäre falsche Planung. Systeme die miteinander daten austauschen müssen 8udn sei es nur die weiterleitung von paketen, müssen im gleichen netz hängen. Was du meinst, daß die beiden Router udn die firewall im gleichen netz(-segment) sein müsen.
es war früher übrigens auch durchaus üblich, daß die Firewall 2 Beinchen hatte, eine intern udn eine extern. sie hat nciht geroutet udn damit kam keiner der drin war raus udn keiner der draußen war rein. Für alle Anwendungen, die nach draußen kommuunizieren mußten, wurden dann Application-Proxies geschrieben (sehr aufwendig!).
lks
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten. Man muss hier aber aufpassen um nicht in Performance Engpässe zu laufen.
So ein Router sollte immer eine identische oder bessere IP Paket Forwarding Rate haben wie die Firewall selber.
Technisch besser wäre also immer ein simples Modem.
Hier findest du ein paar Antworten zu den Fragen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten. Man muss hier aber aufpassen um nicht in Performance Engpässe zu laufen.
So ein Router sollte immer eine identische oder bessere IP Paket Forwarding Rate haben wie die Firewall selber.
Technisch besser wäre also immer ein simples Modem.
Hier findest du ein paar Antworten zu den Fragen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @aqui:
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten.
Und da eine Firewall auch immer routet wäre (eigentlich) auch ein Router davor vollkommen überflüssig.
Die meisten Firewalls können auch PPPoE und benötigen eigentlich nur ein simples Modem.
Nur wenn das nicht vorhanden ist kann man auch einen Router davorschalten.
Inziwschen gibt es einige Anbieter die nur einen 100baseT/1000BaseT Anschluß an einem Router installieren, wo fertiges IP mit einem /29 rausgefallen kommt und deren Router man nicht "anfassen" darf. Da würde man die Firewall direkt da dran stöpseln und ggf die restlichen IP-Adressen per srtatischem NAT in die DMZ weiterleiten.
lks
