dannyx14
Goto Top

Ein paar Fragen zu Hardware-Firewalls

Hallo Community,
ich beschäftige mich heute mit dem Thema Hardware-Firewall. Im August wird bei uns ein neuer Server angeschafft (mit SBS 2008) und der funktioniert ja nunmal nicht mehr (ohne Drittanbietersoftware) als Firewall. Das wollte ich zum Anlass nehmen eine Hardware-Firewall anzuschaffen.

Dazu erstmal folgende Frage:
Hat man eine solche Firewall ist diese ja normalerweise mit (mind.) einem WAN und einem LAN Port ausgestattet. Nun haben wir momentan aber kein dediziertes Modem sondern den Router Speedport W701V. Könnte man einfach den LAN Port des Routers mt dem WAN Port der Firewall verbinden oder müssten wir auch ein Modem kaufen?

Dann bleibt natürlich noch die wichtige Frage welche Firewall. Wie ich den bisherigen Forenbeiträgen so entnehmen konnte ist das ein "Glaubensfrage" trotzdem würde ich gerne nochmal aktuelle Meinungen einholen. Besondere Features werden eigentlich nicht benötigt, ein Spamfilter wäre allerdings nett. Der Preis sollte um die 500€ liegen. Es gibt keine VPN-Benutzer und im lokalen Netzwerk arbeiten maximal 20 Menschen. Ich hatte mir die kleineren Firewalls von ZyXEL, Fortinet, Checkpoint und Astaro angeschaut und konnte irgendwie keine wirklich ausschließen. Was sind so eure Erfahrungswerte?

Grüße,
Daniel.

Content-ID: 145504

Url: https://administrator.de/forum/ein-paar-fragen-zu-hardware-firewalls-145504.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

45877
45877 23.06.2010 um 16:15:13 Uhr
Goto Top
Hallo,

erstmal kannst den Speedport per PPPoe Passthrough auch als Modem nutzen, und zum anderen bei Checkpoint und Astaro wirst du für 500€ nicht viel kriegen (eher gar nix).
Ob man bei deinen ansprüchen überhaupt eine dezigierte Firewall braucht oder ob es auch der Paketfilter im Speedport tut, ist auch eher eine Glaubensfrage, aber wenn du
dich mit Firewalls nicht wirklich auskennst ist evtl. ein reiner paketfilter besser als eine schlecht eingestellte Firewall..
maretz
maretz 23.06.2010 um 16:15:40 Uhr
Goto Top
Moin,

erstmal: Ihr nehmt den Server (DAS System was man schützen soll) als Firewall (das System welches die Angriffe aufhalten soll)? Wer hat euch denn das beigebracht - und habt ihr den für diesen Vorschlag wenigstens am nächsten Baum aufgehängt?

Wir nutzen hier die Astaros. Was du auf der WAN-Seite dran hängst ist dem relativ latte - ob nun Router, Modem oder was auch immer. Wichtig nur: Es sollte natürlich NUR die Astaro ne Verbindung zum Internet haben - und nicht noch irgendwo die schnelle "Querstrippe" direkt vom Router zum Netzwerk-Switch laufen.

Gruß

Mike
adminst
adminst 23.06.2010 um 16:31:24 Uhr
Goto Top
Ich kann dir nur von Astaro abraten. Gut wir setzen die Astaros in grösserem Umfeld ein.
Es kann sein, dass deine Astaro plötzlich den ganzen Traffic kappt, weil die Astaro jungs wiedermal falsche IDP Signaturen senden usw.

Wie du richtig erkannt hast, es ist eine Glaubensfrage.

Aber du solltest dir bei folgenden Punkten im klaren sein, was du willst:

- Wieviel darf Sie kosten
- Was für Dienste sollen dahinter laufen
- Wieviel Traffic hast du
- Wieviele Clients sind dahinter
- Wieviele Clients werden in Zukunf dahinter sein
- Was für Anforderungen hast du an die Firewall (AV Proxy, SPAM Scan Proxy, IDP und und und.

Sobald du ein solches Audit gemacht hast, kannst du dich fragen, welche Firewall kann mir das bieten?
Bei dieser Frage erhälst du eine Matrix. Dann musst du dich anhand von Fakten entscheiden.

Wie schon gesagt, bei einem Preis von 500€ bekommst du garantiert keine Checkpoint, Astaro usw.)

Ich kann nur erahnen, dass evtl die Zywall USG100 etwas für dich sein könnte.

Gruss
adminst
maretz
maretz 23.06.2010 um 16:36:20 Uhr
Goto Top
Ok - ich nutze das IDS von Astaro nicht. Daher auch keine Aussage darüber.

Welchen Punkt ich noch zu der Liste fürs "Audit" hinzufügen möchte:

-> soll die FW selbst verwaltet werden oder von einer Firma?

Und da bitte ERNSTHAFT drüber nachdenken. Es bringt dir nix das du die Kohle sparst - aber die FW dafür nur Löcher hat...
45877
45877 23.06.2010 um 16:37:23 Uhr
Goto Top
Zitat von @adminst:
Ich kann dir nur von Astaro abraten. Gut wir setzen die Astaros in grösserem Umfeld ein.
Es kann sein, dass deine Astaro plötzlich den ganzen Traffic kappt, weil die Astaro jungs wiedermal falsche IDP Signaturen
senden usw.


Hallo,

ich hab hier auch 3 Astaros und das mit dem IDP Update war nur einmal, zumindest einmal mit den gravierenden Folgen.
Ansonsten bin ich zufrieden mit den Dingern.
spongebob24
spongebob24 23.06.2010 um 16:59:09 Uhr
Goto Top
bei uns ca. 60 astaros im einsatz.
ok war sehr beschissen wo das fehlerhafte update kam und nichts mehr ging aber sonst sehr zufrieden
sniffnase
sniffnase 23.06.2010 um 18:17:42 Uhr
Goto Top
Nimm die kleinste Fortigate face-smile

Das mit dem WAN anschluss auf den Speedport funktioniert schon so. Extra Hardware braucht es nicht. Allerdings muss der Speedport wahrscheinlich die Operating mode umstellen.
Am besten deinen ISP anrufen und sagen was du vorhast.
brammer
brammer 23.06.2010 um 19:37:28 Uhr
Goto Top
Hallo,

ISP anrufen?

Wieso denn das?
Was hinter dem Modem hängt gehtden Provider im Normalfall garnichts an!
Den Speedport würde ich nicht mal wirklich ändern, er doch das Routing machen, dazu ist er.
Eine Punkt zu Punkt Verbindung vom Speedport zur Firewall, auf der Firewall die Regularien einrichten und gut ist.

Welches Gerät du nimmst ist deinem Können und deinem Geldbeutel geschuldet.
Ob es eine Cisco ASA 5505 oder eine Fortigate oder eine Astaro wird ist letztendlich nicht wirklich relevant. Hauptsache das Ding ist sauber konfigruiert.

brammer
sniffnase
sniffnase 23.06.2010 um 19:45:26 Uhr
Goto Top
Ist natürlich die Frage wem der Speedport gehört. Wenn man die zugangsdaten hat kann man natürlich selbst die Operating Mode umstellen.
Ich würde die Firewall als Router fungieren lassen und nicht den Speedport, kommt aber natürlich drauf an was man vor hat. VPN Dialup von aussen auf die Firewall kann sonst etwas kompliziert werden.
2hard4you
2hard4you 23.06.2010 um 19:48:21 Uhr
Goto Top
Moin,

das wichtige ist ja schon gesagt Speedport - Firewall - LAN - und damit keine(r) auf dumme Gedanken kommt, würde ich die ungenutzten Ports des Speedports mit bissel Bauschaum oder Acryl o.ä. dauerhaft verschließen und den WLAN-Teil abstellen, den Zugang zum Speedport per LAN sichern und schon sollte der Keks gegessen sein

und ob Du die 500 € in ne HW-FW investierst, oder nen simple PC und ne zweite NIC kaufst und ne M0n0wall drauf laufen läßt, ist nur Deinem Platzbedarf geschuldet - beides sollte sauber konfiguriert sein...

Gruß

24
laster
laster 23.06.2010 um 21:37:03 Uhr
Goto Top
Hallo,

falls als Firewall eine Softwarelösung interessant ist, hier ein Tip: Kerio Control ( http://www.kerio.eu/eu/control/technical-specifications ).
Ansonsten haben wir mit SonicWALL beste Erfahrungen gemacht...

vG
LS
exellent
exellent 24.06.2010 um 09:07:08 Uhr
Goto Top
Fortigate kann ich dir auch wärmstens empfehlen. Die Fortis sind auch für Anfänger relativ easy einzurichten und Preis/Leistung stimmt!

Zudem liegt die Fortigate 60B bei circa 500€. Im Bundle mit folgenden Lizenzen und Wartungsvertrag bei ca. 800€

Anti-Spam, Intrusion Detection, Content-Filter, Anti-Virus, Firmware Updates, 8x5 Hardware Return (3 Tage), alle mit Laufzeit: 1 Jahr,Support für 12 Monate
dannyx14
dannyx14 24.06.2010 um 13:03:36 Uhr
Goto Top
@maretz beim SBS 2003 war es von Microsoft so vorgesehen, dass der Server auch als Firewall fungiert. Nebenbei gesagt sollte auch die öffentliche Webseite drauf laufen. Wir haben beides nicht gemacht, sollte eher ein Einleitungssatz sein, warum wir eine extra Firewall überhaupt brauchen.

Die Verbindung wird auf jeden Fall so laufen wie ihr es gesagt habt: erst Router dann Firewall dann lokales Netzwerk, Firewall wird nirgends überbrückt.

@adminst
-Wieviel darf sie kosten: um die 500€, wenns sein muss 600 aber lieber 400 face-smile
-Dienste/Ports: Port 25 für SMTP E-Mail und 110 für pop3 (Exchange) das wars schon, da weder SharePoint noch OWA oder Remoteverwaltung genutzt werden sollen. Hinzu kommt allerdings noch ein Port für unsere Banking Software. Da muss ich noch den Hersteller kontaktieren.
-Traffic: ca. 50 Emails pro Stunde davon 25 mit Anhängen um die 2MB, dazu ein wenig surfen der Benutzer und hin und wieder das Herunterladen von Updates
-Clients: Momentan 10, könnten aber in den nächsten Jahren 20 werden.
-Anforderungen: Das ist für mich halt sehr problematisch, da ich die Möglichkeiten wie ein Netzwerk angegriffen werden kann nicht kenne. Hier wollte ich einfach so viele Features mitnehmen, wie ich für mein Geld kriege.

Die Zugangsdaten zum Speedport haben wir. Und es soll der Einfachheit halber eine Hardware-Firewall werden und kein PC mit Software-Firewall.

Helfen euch diese Infos um mir weiterzuhelfen?
Gruß
dannyx14
dannyx14 24.06.2010 um 13:07:39 Uhr
Goto Top
Ich habe mir übrigens mal die ZyWall 100 angeschaut und die Beschreibung hört sich gut an. Allein die Netzwerkkonektivität umfasst Werte, die wir nie erreichen werden face-smile
Der Vorteil, dass die Firewall schon Viren abwehrt, ist dass Sie schon bevor sie auf dem Computer landen eliminiert werden, oder? Ist halt die Frage, ob das bei guten Antivirusprogrammen auf den Computern nötig ist.
2hard4you
2hard4you 24.06.2010 um 16:13:58 Uhr
Goto Top
Zitat von @dannyx14:
Ist halt die Frage, ob das bei guten Antivirusprogrammen auf den Computern nötig ist.


ja - denn kein Proggi kann 100 % Sicherheit versprechen - der ClientPC ist halt nur last line of defense

Gruß

24
harald21
harald21 25.06.2010 um 08:28:29 Uhr
Goto Top
Hallo,

für den Preis solltest du bereits eine der kleineren Fortigates (FG-50B oder FG-60B) erhalten, da hast du Firewall, Antivirus, AntiSPAM, IDS/IPS, und Support für 1 Jahr bereits enthalten. Die Performance ist wirklich gut und das übersichtliche Webinterface ist auch für Einsteiger gut konfigurierbar.

mfg
Harald
dannyx14
dannyx14 28.06.2010 um 10:21:03 Uhr
Goto Top
Ok, danke für die Tipps. Ich werde jetzt mal ein bisschen Preise vergleichen.
edepfau
edepfau 28.06.2010 um 16:29:06 Uhr
Goto Top
Die kleine Fortigate FG-50B ist absolut für Deinen Zweck geeignet.
Im Gegensatz zu vielen anderen FWs im Einstiegssegment kann sie auch verschlüsselten Verkehr AV-scannen (https, SMTPs, IMAPs, POP3s). Und das mit Hardware-Unterstützung. Gerade Mail wird ja eigentlich nicht mehr ohne Authentifizierung verschickt. (Natürlich soll das keinen PC-Scanner ersetzen, aber es ist ein beruhigendes Gefühl, wenn man auch "ohne" geschützt ist.)

Und das ist nur ein Feature von vielen, die in 500€ enthalten sind. Überhaupt ist das Lizenzmodell bei Fortinet sehr einfach: alle Netze, alle Dienste, alle features sind mit der HW bereits bezahlt. Die AV- und IDS-Signaturen kosten natürlich jährlich Abogebühren, wie überall.

Evtl. würde ich darauf achten, zusammen mit der Fortigate einen Vorab-Austauschvertrag zu kaufen, für Next-Business Day. Kommt dann aus bzw. zu einem Lager in Deutschland. Ansonsten muss sie nämlich nach Nizza.

Ich habe hier im Büro selbst eine 50B und kann mich darauf voll verlassen.