Aufbau für Internetanbindung
Hallo, ich würd gerne mal einige Meinungen für ein Firewallkonzept für ne Tochterfirma von uns hören.
Also für ein Firewallkonzept habe ich ich einen kleineren Cisco Router der direkt an der Internetleitung hängen muss (Modell kenn ich leider noch nicht) und 2 UTM's (GPA 400 von Gateprotect) zur Verfügung.
Grundsätzlich werde ich mal die 2 UTM zusammen schalten damit ich eine Ausfallsicherheit hier bekommen. Eftl kommt noch eine Backupleitung für's Internet hinzu.
Wo ich noch nicht so wirklich sicher bin ist die DMZ. Zum Beispiel würd ich einen FTP Server dort Platzieren.
Jetzt ist nur die Frage ob's ich hier zwischen Cisco und UTM gehen soll, währ mir am liebsten.
Oder geh ich auf eine andere NIC von der UTM. Währe etwas leichter zu betreuen, vor allem da ich es später nicht machen muss.
Hier hab ich aber leichte Sicherheitsbedenken.
Ich bin auch noch nicht sicher ob ich in der Konstellation die Transportrolle des Exchange hier auslagen soll.
Ich freu mich über jeden Input.
Danke
Also für ein Firewallkonzept habe ich ich einen kleineren Cisco Router der direkt an der Internetleitung hängen muss (Modell kenn ich leider noch nicht) und 2 UTM's (GPA 400 von Gateprotect) zur Verfügung.
Grundsätzlich werde ich mal die 2 UTM zusammen schalten damit ich eine Ausfallsicherheit hier bekommen. Eftl kommt noch eine Backupleitung für's Internet hinzu.
Wo ich noch nicht so wirklich sicher bin ist die DMZ. Zum Beispiel würd ich einen FTP Server dort Platzieren.
Jetzt ist nur die Frage ob's ich hier zwischen Cisco und UTM gehen soll, währ mir am liebsten.
Oder geh ich auf eine andere NIC von der UTM. Währe etwas leichter zu betreuen, vor allem da ich es später nicht machen muss.
Hier hab ich aber leichte Sicherheitsbedenken.
Ich bin auch noch nicht sicher ob ich in der Konstellation die Transportrolle des Exchange hier auslagen soll.
Ich freu mich über jeden Input.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173291
Url: https://administrator.de/forum/aufbau-fuer-internetanbindung-173291.html
Ausgedruckt am: 03.04.2025 um 04:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ich kenne die GPA's nicht, wenn die häufig ausfallen, brauchst Du beide im HA-Modus. Wenn die Leitung eher ausfällt, musst Du diese doppelt anbinden...
Du kannst auch beide GPA 'hintereinander' schalten und dazwischen Deine DMZ aufbauen. Im Prinziep egal wie Du das machst, solltest aber genau wissen was Du willst und wie Du es umsetzt.
Und: DOKUMENTIERE alles GANZ GENAU!
vG
LS
ich kenne die GPA's nicht, wenn die häufig ausfallen, brauchst Du beide im HA-Modus. Wenn die Leitung eher ausfällt, musst Du diese doppelt anbinden...
Du kannst auch beide GPA 'hintereinander' schalten und dazwischen Deine DMZ aufbauen. Im Prinziep egal wie Du das machst, solltest aber genau wissen was Du willst und wie Du es umsetzt.
Und: DOKUMENTIERE alles GANZ GENAU!
vG
LS
Hallo,
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle über die Zugriffe auf die Systeme (Policy, Logs, ...)!
Für den zukünftigen Betreuer ist die Verwendung einer Firewall-DMZ-Zone einfacher, weil er alles aus einer Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
Gruß
LS
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle über die Zugriffe auf die Systeme (Policy, Logs, ...)!
das Teil ist schon fast Idioten sicher
Ich halt von der 'Idiotensicheren' Oberfläche nicht viel, sehe lieber die Regeln im Klartext (Von, Nach, Service, Zeitrahmen, Translation, ...) in einer gut strukturierten GUI...Für den zukünftigen Betreuer ist die Verwendung einer Firewall-DMZ-Zone einfacher, weil er alles aus einer Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
___Firewall____
WAN -- Router -- WAN / DMZ / LAN -- LAN
|
FTP + Exch.
Gruß
LS
nur die Frage ob einstufig mitlerweile reicht oder nicht
was ist bei Dir 'einstufig'? Wenn eine Firewall mehrere Zonen (WAN, LAN, DMZ, ...) bietet und zwischen den Zonen die Verbindungen per Regeln regelt, ist das einstufig?nur die Frage ob das sicher genug ist.
Das bestimmt Dein Sicherheitsanspruch. Vertraust Du der GP oder nicht. Wie hoch ist denn der Sicherheitsanspruch für die Informationen im LAN?Also, sind auch nur Gedanken. Mach Dir ein richtiges Konzept, lass dieses von der GF absegnen und ermögliche eine optimale Betreuung.
viel Erfolg!
LS
Nun doch noch eine letzte Anmerkung zum zweistufigen Firewallkonzept:
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall, die DMZ beherrschen kann.
Um die Sicherheit zu erhöhen, müsstest Du zwei Firewalls anderen Types/Hersteller mit HA zusätzlich installieren. Ich kenne kein KMU, was sich 4 Firewalls leisten kann (mit Support und Updatediensten für AntiMalware- und IPS/IPD Signaturen). GP ist da übrigens nich gerade billig.
LS
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall, die DMZ beherrschen kann.
Um die Sicherheit zu erhöhen, müsstest Du zwei Firewalls anderen Types/Hersteller mit HA zusätzlich installieren. Ich kenne kein KMU, was sich 4 Firewalls leisten kann (mit Support und Updatediensten für AntiMalware- und IPS/IPD Signaturen). GP ist da übrigens nich gerade billig.
LS