21
Firewall-Empfehlung für Segmentierungsfirewall
Hallo!
Ich bräuchte demnächst eine neue Firewall, die zwischen den verschiedenen "Sicherheitszonen" meines Netzwerks routet und filtert. Aktuell sind es 23 24bit-Netze in je eigenem VLAN.
Nach außen hin gibt es bereits eine Fortigate NGFW als Perimeterfirewall. Zwischen den Zonen ist derzeit ein Linux-Cluster mit IPTABLES. Das Regelwerk pflege ich mit fwbuilder (was nicht mehr weiterentwickelt wird).
Anforderung ist:
- >20 GBit/s Routing und Layer 4 Firewall
- >4 GBit/s "NGFW-Traffic" (mit IPS)
- HA-System
- Übersichtliche Pflege der Regeln mit Funktionen wie:
- Systeme, Netze, DNS-Namen und Dienste als Objekte
- In welcher Regel wird dieses Objekt genutzt.
- Möglichkeit "globaler Regeln" (nicht nur von Interface zu Interface bzw. Zone zu Zone)
- Bitte keine Farbzonen oder so etwas (als Mann kenne ich nicht so viel Farben)
- Schön wären "Queues" bei den Regeln
- VPN, etc. ist völlig egal...
Habt ihr eine Empfehlung für mich?
fwbuilder war/ist für mich das Nonplus-Ultra, was die Übersicht und Pflege angeht, aber ein IPS muss eben extern "angeflanscht" werden und ich möchte ungerne weiterhin auf ein totes Projekt setzen.
Danke und Grüße
Phil
Ich bräuchte demnächst eine neue Firewall, die zwischen den verschiedenen "Sicherheitszonen" meines Netzwerks routet und filtert. Aktuell sind es 23 24bit-Netze in je eigenem VLAN.
Nach außen hin gibt es bereits eine Fortigate NGFW als Perimeterfirewall. Zwischen den Zonen ist derzeit ein Linux-Cluster mit IPTABLES. Das Regelwerk pflege ich mit fwbuilder (was nicht mehr weiterentwickelt wird).
Anforderung ist:
- >20 GBit/s Routing und Layer 4 Firewall
- >4 GBit/s "NGFW-Traffic" (mit IPS)
- HA-System
- Übersichtliche Pflege der Regeln mit Funktionen wie:
- Systeme, Netze, DNS-Namen und Dienste als Objekte
- In welcher Regel wird dieses Objekt genutzt.
- Möglichkeit "globaler Regeln" (nicht nur von Interface zu Interface bzw. Zone zu Zone)
- Bitte keine Farbzonen oder so etwas (als Mann kenne ich nicht so viel Farben)
- Schön wären "Queues" bei den Regeln
- VPN, etc. ist völlig egal...
Habt ihr eine Empfehlung für mich?
fwbuilder war/ist für mich das Nonplus-Ultra, was die Übersicht und Pflege angeht, aber ein IPS muss eben extern "angeflanscht" werden und ich möchte ungerne weiterhin auf ein totes Projekt setzen.
Danke und Grüße
Phil
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 420306
Url: https://administrator.de/forum/firewall-empfehlung-fuer-segmentierungsfirewall-420306.html
Ausgedruckt am: 02.04.2025 um 11:04 Uhr
21 Kommentare
Neuester Kommentar
Hi
pfSense wird das alles können, passende Hardware darunter vorausgesetzt, wir testen ähnliches gerade bei uns und da man mit pfSense relativ einfach Cluster erstellen kann ist eine praktikablere Lösung wie die teuren großen.
Gruß
@clSchak
pfSense wird das alles können, passende Hardware darunter vorausgesetzt, wir testen ähnliches gerade bei uns und da man mit pfSense relativ einfach Cluster erstellen kann ist eine praktikablere Lösung wie die teuren großen.
Gruß
@clSchak
Hallo!
pfSense habe ich mir zuletzt vor einem Jahr angeschaut, aber ich fand das Ganze sehr unübersichtlich - gerade weil ich ja NUR die Firewall benötige. Hier wird immer mit Zonen gearbeitet, oder?
pfSense habe ich mir zuletzt vor einem Jahr angeschaut, aber ich fand das Ganze sehr unübersichtlich - gerade weil ich ja NUR die Firewall benötige. Hier wird immer mit Zonen gearbeitet, oder?
nö, wir testen das gerade mit der Trennung im Serverbereich und nutzen auch nur Portregeln / NAT je nach dem was wie benötigt wird. IPv6 Tests machen wir damit auch - aber bisher mit einem eher bescheidenen Ergebnis :| was das betrifft.
Port-Zu-Port-Regeln finde ich einfach unflexibel.
Wenn dann 23 "Ports" bzw. VLANs auf einen DNS-Server zugreifen dürfen, möchte ich ungerne 23 Regeln erstellen...
Edit: Ich habe gerade die "Floating-Rules" gesehen... Das teste ich jetzt mal.
Wenn dann 23 "Ports" bzw. VLANs auf einen DNS-Server zugreifen dürfen, möchte ich ungerne 23 Regeln erstellen...
Edit: Ich habe gerade die "Floating-Rules" gesehen... Das teste ich jetzt mal.
Moin Phil,
wäre ggf. auch was für eine Sophos mit Net Subskription (+?) - ist aber nicht für Lau, auf Wunsch liesse sich aber sicherlich eine Teststellung realisieren.
Viele Grüße,
Christian
wäre ggf. auch was für eine Sophos mit Net Subskription (+?) - ist aber nicht für Lau, auf Wunsch liesse sich aber sicherlich eine Teststellung realisieren.
Viele Grüße,
Christian
Hier wird immer mit Zonen gearbeitet, oder?
Nein !Zeigt das du dir die pfSense (oder OpenSense) gar nicht angesehen hast
Zonen gibt es da nicht es ist eben genau das was du willst: Eine reine Firewall !!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Fazit:
Einfach mal von einem USB Stick booten und auf einem ollen PC installieren. Ein Bild sagt mehr als 1000 Worte....
Dann mirgierst du das auf eine entsprechende Hardware.
APU PC Engines Board oder entsprechende HW:
https://www.heise.de/select/ct/2019/04/1549881235433629
Fertisch !
Hallo!
Ihr habt absolut recht: Ich musste es mir noch einmal selbst anschauen.
Begeistert bin ich leider weiterhin nicht (ich weiß, ich bin anspruchsvoll
):
Typisches Szenario:
Ich lege Aliase an:
Host 1
Host 2
Host 3
Gruppe:
Team 1: Enthält Host 1+2
Team 2: Enthält Host 2+3
Jetzt möchte ich sagen:
Allow;Team 1; Destination GoogleDNS
Ich kann zwar eine "Hostliste" als Alias-Objekt anlegen, aber kann keine Objekte "verschachteln". Das finde ich sehr unangenehm und fehleranfällig. Wenn sich etwas an einem Host ändert, muss ich alle passenden Gruppen finden.
Weiterer Punkt:
Es scheint weder Queues für die Regeln zu geben, noch Jumps. Das macht das Regelwerk komplett flach und ziemlich unübersichtlich...
Habt ihr noch eine andere Idee? Es darf auch Geld kosten
Grüße
Ihr habt absolut recht: Ich musste es mir noch einmal selbst anschauen.
Begeistert bin ich leider weiterhin nicht (ich weiß, ich bin anspruchsvoll
):Typisches Szenario:
Ich lege Aliase an:
Host 1
Host 2
Host 3
Gruppe:
Team 1: Enthält Host 1+2
Team 2: Enthält Host 2+3
Jetzt möchte ich sagen:
Allow;Team 1; Destination GoogleDNS
Ich kann zwar eine "Hostliste" als Alias-Objekt anlegen, aber kann keine Objekte "verschachteln". Das finde ich sehr unangenehm und fehleranfällig. Wenn sich etwas an einem Host ändert, muss ich alle passenden Gruppen finden.
Weiterer Punkt:
Es scheint weder Queues für die Regeln zu geben, noch Jumps. Das macht das Regelwerk komplett flach und ziemlich unübersichtlich...
Habt ihr noch eine andere Idee? Es darf auch Geld kosten
Grüße
Hallo,
Das geht mit einer Sophos UTM genau so, wie Du es beschrieben hast.
cu,
ipzipzap
Zitat von @Der-Phil:
Typisches Szenario:
Ich lege Aliase an:
Host 1
Host 2
Host 3
Gruppe:
Team 1: Enthält Host 1+2
Team 2: Enthält Host 2+3
Jetzt möchte ich sagen:
Allow;Team 1; Destination GoogleDNS
Typisches Szenario:
Ich lege Aliase an:
Host 1
Host 2
Host 3
Gruppe:
Team 1: Enthält Host 1+2
Team 2: Enthält Host 2+3
Jetzt möchte ich sagen:
Allow;Team 1; Destination GoogleDNS
Das geht mit einer Sophos UTM genau so, wie Du es beschrieben hast.
cu,
ipzipzap
Hallo!
Dann schaue ich mir die jetzt mal an...
Habt ihr mit Sophos sonst gute Erfahrungen? Ich kannte Sophos noch überhaupt nicht im Umfeld, wo Performance benötigt wird...
Dann schaue ich mir die jetzt mal an...
Habt ihr mit Sophos sonst gute Erfahrungen? Ich kannte Sophos noch überhaupt nicht im Umfeld, wo Performance benötigt wird...
Es kommt immer drauf an, welche Features Du brauchst bzw. aktivierst und womit Du vergleichst.
Brauchst Du z.B. nur Firewall und Routing, dann ist Sophos schneller als z.B. Fortinet. Aktivierst Du Intrusion Prevention (IPS) geht das deutlich(!) auf die Performance, weil ja jedes Paket untersucht wird. Web Filtering, Web Application Firewall, Virenscanner, etc. tun dann noch ihr übriges. Darum überlegt man sich vorher, was man an Features braucht und sucht sich danach die Hardware-Appliance aus, und dann auch lieber noch eine Nummer größer ;)
cu,
ipzipzap
Brauchst Du z.B. nur Firewall und Routing, dann ist Sophos schneller als z.B. Fortinet. Aktivierst Du Intrusion Prevention (IPS) geht das deutlich(!) auf die Performance, weil ja jedes Paket untersucht wird. Web Filtering, Web Application Firewall, Virenscanner, etc. tun dann noch ihr übriges. Darum überlegt man sich vorher, was man an Features braucht und sucht sich danach die Hardware-Appliance aus, und dann auch lieber noch eine Nummer größer ;)
cu,
ipzipzap
Das ist das schöne an der Sophos, du skalierst an der Hardware und an den lizenzierten Funktionen.
Wie gesagt, wenn du Bedarf an einer Teststellung hast, schreibst mir einfach.
VG,
Christian
Wie gesagt, wenn du Bedarf an einer Teststellung hast, schreibst mir einfach.
VG,
Christian
Zitat von @ipzipzap:
Es kommt immer drauf an, welche Features Du brauchst bzw. aktivierst und womit Du vergleichst.
Brauchst Du z.B. nur Firewall und Routing, dann ist Sophos schneller als z.B. Fortinet. Aktivierst Du Intrusion Prevention (IPS) geht das deutlich(!)
Es kommt immer drauf an, welche Features Du brauchst bzw. aktivierst und womit Du vergleichst.
Brauchst Du z.B. nur Firewall und Routing, dann ist Sophos schneller als z.B. Fortinet. Aktivierst Du Intrusion Prevention (IPS) geht das deutlich(!)
ist aber bei jeder Appliance so, die bei IPS auch IPS liefert.
auf die Performance, weil ja jedes Paket untersucht wird. Web Filtering, Web Application Firewall, Virenscanner, etc. tun dann noch ihr übriges. Darum überlegt man sich vorher, was man an Features braucht und sucht sich danach die Hardware-Appliance aus, und dann auch lieber noch eine Nummer größer ;)
cu,
ipzipzap
cu,
ipzipzap
Vielen Dank!
Ich schaue mir Sophos mal an, ob das für mich passt vom Management.
Ich schaue mir Sophos mal an, ob das für mich passt vom Management.
Hallo!
Ich wollte euch noch einmal Rückmeldung geben:
Sophos XG:
Wirkt sehr vielversprechend. Regeln können in eine Art "Contaienergruppe" arrangiert werden. Jumps sind leider nicht möglich, aber die Regelgruppen können als Bedinung Quell- und Zielzone haben.
Objekte können geschachtelt werden. Einziger Punkt, den ich bisher nicht lösen konnte (und der mir Sorgen macht):
Ich konnte keine Möglichkeit finde, zu suchen: In welchen Regeln ist diese Objekt genutzt (z.B.: Welche Firewallregel nutzt dieses Objekt?)
Es gibt einen Firewall-Tester, aber ich finde ihn recht ungenau/unangenehm.
Fortigate:
Hier gibt es "Sequences". Diese sind NUR eine Hilfe zur Übersicht. Es gibt keine Jumps oder "Unterregelwerke".
Was gut gelöst ist, ist, dass man anzeigen lassen kann, welches Objekt wo referenziert ist und es einen übersichtlichen "Tester" gibt, wo man anzeigen lassen kann, welche Regel greifen "würde".
Gruß
Ich wollte euch noch einmal Rückmeldung geben:
Sophos XG:
Wirkt sehr vielversprechend. Regeln können in eine Art "Contaienergruppe" arrangiert werden. Jumps sind leider nicht möglich, aber die Regelgruppen können als Bedinung Quell- und Zielzone haben.
Objekte können geschachtelt werden. Einziger Punkt, den ich bisher nicht lösen konnte (und der mir Sorgen macht):
Ich konnte keine Möglichkeit finde, zu suchen: In welchen Regeln ist diese Objekt genutzt (z.B.: Welche Firewallregel nutzt dieses Objekt?)
Es gibt einen Firewall-Tester, aber ich finde ihn recht ungenau/unangenehm.
Fortigate:
Hier gibt es "Sequences". Diese sind NUR eine Hilfe zur Übersicht. Es gibt keine Jumps oder "Unterregelwerke".
Was gut gelöst ist, ist, dass man anzeigen lassen kann, welches Objekt wo referenziert ist und es einen übersichtlichen "Tester" gibt, wo man anzeigen lassen kann, welche Regel greifen "würde".
Gruß
Huch! Ich hätte eigentlich sagen sollen, das sich meine Aussagen auf die SG bzw. UTM-Version bezogen. Sorry dafür.
Die XG kenne ich noch nicht wirklich. Hab ich nur zwei Mal installiert und kurze Zeit danach wieder gelöscht, weil die noch lange nicht so weit war wie die SG/UTM.
cu
Wechsel auf die SG/UTM. ;)
Hallo!
Ohh. Dann sollte ich noch einmal der SG eine Chance geben... Bei der SG finde ich nur die Lizensierung der Virtual Appliances unangenehm, aber daran soll es nicht scheitern...
Grüße
Ohh. Dann sollte ich noch einmal der SG eine Chance geben... Bei der SG finde ich nur die Lizensierung der Virtual Appliances unangenehm, aber daran soll es nicht scheitern...
Grüße
Solltest auch auf Hardware gehen.
Danke für den Hinweis.
Für mich klang es so, als würde gerade Sophos die SG langsam aber sicher durch die XG ablösen. Siehst Du das anders?
Für mich klang es so, als würde gerade Sophos die SG langsam aber sicher durch die XG ablösen. Siehst Du das anders?
Ja, definitiv. Wo willst du die UTM denn beziehen?
Hallo!
Ich bin noch am Schauen, was ich will und werde dann nach dem Partner schauen. Noch kann es auch gut sein, dass ich bei Fortinet bleibe.
Ich bin noch am Schauen, was ich will und werde dann nach dem Partner schauen. Noch kann es auch gut sein, dass ich bei Fortinet bleibe.
