8
Aufbau für Internetanbindung
Hallo, ich würd gerne mal einige Meinungen für ein Firewallkonzept für ne Tochterfirma von uns hören.
Also für ein Firewallkonzept habe ich ich einen kleineren Cisco Router der direkt an der Internetleitung hängen muss (Modell kenn ich leider noch nicht) und 2 UTM's (GPA 400 von Gateprotect) zur Verfügung.
Grundsätzlich werde ich mal die 2 UTM zusammen schalten damit ich eine Ausfallsicherheit hier bekommen. Eftl kommt noch eine Backupleitung für's Internet hinzu.
Wo ich noch nicht so wirklich sicher bin ist die DMZ. Zum Beispiel würd ich einen FTP Server dort Platzieren.
Jetzt ist nur die Frage ob's ich hier zwischen Cisco und UTM gehen soll, währ mir am liebsten.
Oder geh ich auf eine andere NIC von der UTM. Währe etwas leichter zu betreuen, vor allem da ich es später nicht machen muss.
Hier hab ich aber leichte Sicherheitsbedenken.
Ich bin auch noch nicht sicher ob ich in der Konstellation die Transportrolle des Exchange hier auslagen soll.
Ich freu mich über jeden Input.
Danke
Also für ein Firewallkonzept habe ich ich einen kleineren Cisco Router der direkt an der Internetleitung hängen muss (Modell kenn ich leider noch nicht) und 2 UTM's (GPA 400 von Gateprotect) zur Verfügung.
Grundsätzlich werde ich mal die 2 UTM zusammen schalten damit ich eine Ausfallsicherheit hier bekommen. Eftl kommt noch eine Backupleitung für's Internet hinzu.
Wo ich noch nicht so wirklich sicher bin ist die DMZ. Zum Beispiel würd ich einen FTP Server dort Platzieren.
Jetzt ist nur die Frage ob's ich hier zwischen Cisco und UTM gehen soll, währ mir am liebsten.
Oder geh ich auf eine andere NIC von der UTM. Währe etwas leichter zu betreuen, vor allem da ich es später nicht machen muss.
Hier hab ich aber leichte Sicherheitsbedenken.
Ich bin auch noch nicht sicher ob ich in der Konstellation die Transportrolle des Exchange hier auslagen soll.
Ich freu mich über jeden Input.
Danke
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173291
Url: https://administrator.de/forum/aufbau-fuer-internetanbindung-173291.html
Ausgedruckt am: 03.04.2025 um 04:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ich kenne die GPA's nicht, wenn die häufig ausfallen, brauchst Du beide im HA-Modus. Wenn die Leitung eher ausfällt, musst Du diese doppelt anbinden...
Du kannst auch beide GPA 'hintereinander' schalten und dazwischen Deine DMZ aufbauen. Im Prinziep egal wie Du das machst, solltest aber genau wissen was Du willst und wie Du es umsetzt.
Und: DOKUMENTIERE alles GANZ GENAU!
vG
LS
ich kenne die GPA's nicht, wenn die häufig ausfallen, brauchst Du beide im HA-Modus. Wenn die Leitung eher ausfällt, musst Du diese doppelt anbinden...
Du kannst auch beide GPA 'hintereinander' schalten und dazwischen Deine DMZ aufbauen. Im Prinziep egal wie Du das machst, solltest aber genau wissen was Du willst und wie Du es umsetzt.
Und: DOKUMENTIERE alles GANZ GENAU!
vG
LS
Erst mal Danke für dir Antwort,
wobei das eigentlich wenig mit der Frage zu tun hat.
Die beiden GPA's werden Definitiv im HA-Modus laufen. Aber ich hab ja noch den Cisco.
Persönlich würde ich gerne die DMZ zwischen Cisco und den 2 GPA's laufen lassen. Es ist die sicherste Lösung hab aber das Problem das es vermutlich für den Betreuer zu kompliziert wird.
Jetzt könnte man die DMZ auf einen zweiten Port der GPA legen (das Teil ist schon fast Idioten sicher), nur hab ich leichte Sicherheitsbedenken und würde gerne Wissen ob diese nur ich habe oder ob's auch anderen so geht.
Und wie auch geschrieben die Transportrolle des Exchange. Die GPA ist ne UTM und überprüft die Mail's so das ich kein direktes Portforwarding auf den Exchange habe. Ich bin nur am überlegen ob ich nicht trotzdem die Transportrolle in die DMZ auslagern sollte.
Wie ich's umsetzten kann ist nicht mein Problem ich bin nur nicht 100% sicher was die beste Lösung ist, bzw. ob die Lösung mit der DMZ über die zweite NIC sicher genug ist.
wobei das eigentlich wenig mit der Frage zu tun hat.
Die beiden GPA's werden Definitiv im HA-Modus laufen. Aber ich hab ja noch den Cisco.
Persönlich würde ich gerne die DMZ zwischen Cisco und den 2 GPA's laufen lassen. Es ist die sicherste Lösung hab aber das Problem das es vermutlich für den Betreuer zu kompliziert wird.
Jetzt könnte man die DMZ auf einen zweiten Port der GPA legen (das Teil ist schon fast Idioten sicher), nur hab ich leichte Sicherheitsbedenken und würde gerne Wissen ob diese nur ich habe oder ob's auch anderen so geht.
Und wie auch geschrieben die Transportrolle des Exchange. Die GPA ist ne UTM und überprüft die Mail's so das ich kein direktes Portforwarding auf den Exchange habe. Ich bin nur am überlegen ob ich nicht trotzdem die Transportrolle in die DMZ auslagern sollte.
Wie ich's umsetzten kann ist nicht mein Problem ich bin nur nicht 100% sicher was die beste Lösung ist, bzw. ob die Lösung mit der DMZ über die zweite NIC sicher genug ist.
Hallo,
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle über die Zugriffe auf die Systeme (Policy, Logs, ...)!
Für den zukünftigen Betreuer ist die Verwendung einer Firewall-DMZ-Zone einfacher, weil er alles aus einer Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
Gruß
LS
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle über die Zugriffe auf die Systeme (Policy, Logs, ...)!
das Teil ist schon fast Idioten sicher
Ich halt von der 'Idiotensicheren' Oberfläche nicht viel, sehe lieber die Regeln im Klartext (Von, Nach, Service, Zeitrahmen, Translation, ...) in einer gut strukturierten GUI...Für den zukünftigen Betreuer ist die Verwendung einer Firewall-DMZ-Zone einfacher, weil er alles aus einer Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
___Firewall____
WAN -- Router -- WAN / DMZ / LAN -- LAN
|
FTP + Exch.Gruß
LS
Zitat von @laster:
Hallo,
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle
über die Zugriffe auf die Systeme (Policy, Logs, ...)!
Genau das hab ich ja vor nur die Frage ob einstufig mitlerweile reicht oder nicht.Hallo,
ich würde alle Dienste, die von extern erreichbar sein sollen IMMER in eine DMZ setzen. Nur so hast Du eine Kontrolle
über die Zugriffe auf die Systeme (Policy, Logs, ...)!
Für den zukünftigen Betreuer ist die Verwendung einer Firewall-DMZ-Zone einfacher, weil er alles aus einer
Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
Irgendwie war das ja wie geschrieben auch mein Gedanke, nur die Frage ob das sicher genug ist.Oberfläche bedienen kann (wenn das Konzept und die Umsetzung gut dokumentiert ist).
Ich glaub ich setze jetzt den Beitrag auf gelöst. Da kommt momentan nicht viel dabei raus.
nur die Frage ob einstufig mitlerweile reicht oder nicht
was ist bei Dir 'einstufig'? Wenn eine Firewall mehrere Zonen (WAN, LAN, DMZ, ...) bietet und zwischen den Zonen die Verbindungen per Regeln regelt, ist das einstufig?nur die Frage ob das sicher genug ist.
Das bestimmt Dein Sicherheitsanspruch. Vertraust Du der GP oder nicht. Wie hoch ist denn der Sicherheitsanspruch für die Informationen im LAN?Also, sind auch nur Gedanken. Mach Dir ein richtiges Konzept, lass dieses von der GF absegnen und ermögliche eine optimale Betreuung.
viel Erfolg!
LS
Zitat von @laster:
> nur die Frage ob einstufig mitlerweile reicht oder nicht
was ist bei Dir 'einstufig'? Wenn eine Firewall mehrere Zonen (WAN, LAN, DMZ, ...) bietet und zwischen den Zonen die
Verbindungen per Regeln regelt, ist das einstufig?
> nur die Frage ob einstufig mitlerweile reicht oder nicht
was ist bei Dir 'einstufig'? Wenn eine Firewall mehrere Zonen (WAN, LAN, DMZ, ...) bietet und zwischen den Zonen die
Verbindungen per Regeln regelt, ist das einstufig?
Ja, genau wenn ich zwei Firewall's hintereinander schalte und dazwischen eine DMZ setze ist das ein zweistufiges Firewall konzept. Wenn ich's auf nen zweiten LANPort einer Firewall die DMZ setze ist das ein einstufiges Konzept.
Kannst ja mal nachlesen wenn dich soetwas interresiert.
http://de.wikipedia.org/wiki/Demilitarized_Zone
Das bestimmt Dein Sicherheitsanspruch. Vertraust Du der GP oder nicht. Wie hoch ist denn der Sicherheitsanspruch für die
Informationen im LAN?
Also, sind auch nur Gedanken. Mach Dir ein richtiges Konzept, lass dieses von der GF absegnen und ermögliche eine optimale
Betreuung.
Ich mach mir auch ein richtiges Konzept aber ich wollte einfach mal einige Gedanken hören wie das andere Realisieren.
Nun doch noch eine letzte Anmerkung zum zweistufigen Firewallkonzept:
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall, die DMZ beherrschen kann.
Um die Sicherheit zu erhöhen, müsstest Du zwei Firewalls anderen Types/Hersteller mit HA zusätzlich installieren. Ich kenne kein KMU, was sich 4 Firewalls leisten kann (mit Support und Updatediensten für AntiMalware- und IPS/IPD Signaturen). GP ist da übrigens nich gerade billig.
LS
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall, die DMZ beherrschen kann.
Um die Sicherheit zu erhöhen, müsstest Du zwei Firewalls anderen Types/Hersteller mit HA zusätzlich installieren. Ich kenne kein KMU, was sich 4 Firewalls leisten kann (mit Support und Updatediensten für AntiMalware- und IPS/IPD Signaturen). GP ist da übrigens nich gerade billig.
LS
Zitat von @laster:
Nun doch noch eine letzte Anmerkung zum zweistufigen Firewallkonzept:
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall,
die DMZ beherrschen kann.
Sind sie auch nicht, dafür hab ich ja wie oben geschrieben eine Cisco.Nun doch noch eine letzte Anmerkung zum zweistufigen Firewallkonzept:
Zwei Firewalls vom gleichen Typ, die quasi in Reihe geschalten werden, sind meiner Meinung nach nicht sicherer als eine Firewall,
die DMZ beherrschen kann.
Um die Sicherheit zu erhöhen, müsstest Du zwei Firewalls anderen Types/Hersteller mit HA zusätzlich installieren.
Die zwei von Gateprotect hab ich nur weil's ne Aktion war eine Kaufen die zweite geschenkt, sprich der HA-Modus nur weil er mich eh nicht's kostet.Wobei ich ja die 4te Firewall kriegen würde wenn ich ne Backupleitung schalte.
