4
HA-Firewall mit guter Regelwerkspflege - reine SIF
Hallo!
Ich habe eine interne Firewall, die routet und filtert zwischen derzeit 18 VLANs/Netzen.
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Das Regelwerk habe ich schon seit Jahren mit dem "Firewallbuilder" gepflegt und als Firewall ein Linux-System eingesetzt. Damit bin ich auch wirklich sehr zufrieden, aber Firewallbuilder/FWBuilder wird nicht mehr weiter entwickelt.
Kennt ihr irgendeine Alternative?
Wichtig ist vor allem die übersichtliche Pflege der Regeln mit verlinkten Objekten, da ich sonst das Regelwerk nur schwer überblicke. Derzeit wird von einem "Grundregelwerk" je nach Netz in eine andere "Sub-Policy" verwiesen. Kennt ihr noch eine andere Software, die das kann, oder könnt ihr mir eine Firewall-Appliance empfehlen, die diese Funktionen gut bietet.
Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
Vielen Dank für eure Tipps!
Grüße
Phil
Ich habe eine interne Firewall, die routet und filtert zwischen derzeit 18 VLANs/Netzen.
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Das Regelwerk habe ich schon seit Jahren mit dem "Firewallbuilder" gepflegt und als Firewall ein Linux-System eingesetzt. Damit bin ich auch wirklich sehr zufrieden, aber Firewallbuilder/FWBuilder wird nicht mehr weiter entwickelt.
Kennt ihr irgendeine Alternative?
Wichtig ist vor allem die übersichtliche Pflege der Regeln mit verlinkten Objekten, da ich sonst das Regelwerk nur schwer überblicke. Derzeit wird von einem "Grundregelwerk" je nach Netz in eine andere "Sub-Policy" verwiesen. Kennt ihr noch eine andere Software, die das kann, oder könnt ihr mir eine Firewall-Appliance empfehlen, die diese Funktionen gut bietet.
Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
Vielen Dank für eure Tipps!
Grüße
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206359
Url: https://administrator.de/contentid/206359
Printed on: April 28, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hallo,
die Switche so weit wie möglich zu stapeln! Und die Firewall nur noch den WAN - LAN und WAN - DMZ Verkehr
routen zu lassen. Am besten für so etwas sind wohl auch nicht blockierende Switche die gestapelt werden können.
ähnlich wie bei einem VRRP Setup auch eine virtuelle MAC Adresse vergeben und dann man die Netzwerklast
sogar über die beiden Firewalls ausbalancieren, also sprich Geräte basierend!!!
Fällt eine Firewall aus, wird die andere auch automatisch zum Master!
Unix ist nicht Linux, aber man kann es sich ja einmal anschauen, denn das OpenBSD kann man auch gut "härten" für den Einsatz als Gateway.
- IPCop
Gruß
Dobby
Es muss mit nahezu Gigabit-Geschwindigkeit geroutet werden.
Ich würde dann aber lieber dazu übergehen den LAN Verkehr durch einen Layer3 Switch erledigen zu lassen unddie Switche so weit wie möglich zu stapeln! Und die Firewall nur noch den WAN - LAN und WAN - DMZ Verkehr
routen zu lassen. Am besten für so etwas sind wohl auch nicht blockierende Switche die gestapelt werden können.
Wichtig wäre noch, dass der Betrieb als HA-Lösung möglich sein soll.
OpenBSD würde mir da spontan einfallen! Dort wird via CARP, arpbalance angeboten und man kannähnlich wie bei einem VRRP Setup auch eine virtuelle MAC Adresse vergeben und dann man die Netzwerklast
sogar über die beiden Firewalls ausbalancieren, also sprich Geräte basierend!!!
Fällt eine Firewall aus, wird die andere auch automatisch zum Master!
Unix ist nicht Linux, aber man kann es sich ja einmal anschauen, denn das OpenBSD kann man auch gut "härten" für den Einsatz als Gateway.
Am liebsten hätte ich wieder eine Linux-Lösung, da ich damit schon lange sehr gut gefahren bin.
- IPFire- IPCop
Gruß
Dobby
Also eine netfilter-basierte Firewall mit vernünftiger Konfiguration...da fällt mir am ehesten Mikrotik ein.
Mit dem CCR haben die jetzt auch ein Produkt was Gigabit Wirespeed routen können soll - bzw. kann man das OS auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
HA ist prinzipiell auch möglich, wenn man VRRP benutzt - allerdings gibt es von Haus aus keine automatische Möglichkeit die Konfiguration zu synchronisieren.
Und die CCR sind derzeit eher noch "Open Beta".
Die MT-Firewall kannst du dir übrigens angucken, wenn du die Winbox runterlädst http://download2.mikrotik.com/winbox.exe und dich mit
Ansonsten haben die Cisco ASAs über den SDM noch eine halbwegs verständliche Firewall-Konfiguration.
Von Cisco IOS würde ich aber abraten, mit der Zone-Based Firewall (die einzige zeitgemäße Firewall in IOS) hat man gleich 50 Zeilen Statements ohne nur eine produktive Regel geschrieben zu haben.
Mit dem CCR haben die jetzt auch ein Produkt was Gigabit Wirespeed routen können soll - bzw. kann man das OS auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
HA ist prinzipiell auch möglich, wenn man VRRP benutzt - allerdings gibt es von Haus aus keine automatische Möglichkeit die Konfiguration zu synchronisieren.
Und die CCR sind derzeit eher noch "Open Beta".
Die MT-Firewall kannst du dir übrigens angucken, wenn du die Winbox runterlädst http://download2.mikrotik.com/winbox.exe und dich mit
demo.mt.lv verbindest.Ansonsten haben die Cisco ASAs über den SDM noch eine halbwegs verständliche Firewall-Konfiguration.
Von Cisco IOS würde ich aber abraten, mit der Zone-Based Firewall (die einzige zeitgemäße Firewall in IOS) hat man gleich 50 Zeilen Statements ohne nur eine produktive Regel geschrieben zu haben.
auch auf x86 HW installieren (soll Leute geben, die es mit 10GbE betreiben).
Schau mal hier auf Seite 35 nach bitte! MikroTik New Hardware Dort wird ein CCR-1036-8G-2S+ angekündigt, mit 2 SFP+ Schnittstellen.Und die CCR sind derzeit eher noch "Open Beta".
Jo leider noch, die Hardware bleibt aber wie sie ist, aber die Software RouterOS ist noch nicht so der Bringer für dieses Modell oder bzw. für die ganze CCR Serie, es hakt an allen Ecken und Kanten.Ist aber auch der internen Firmenpolitik geschuldet, man kann seine Programmierer bei Tilera für Schulungen anmelden, $ 3000 für 3 Tage, na rate mal ob die alle da waren.
Gruß
Dobby
Hallo!
Mikrotik setze ich schon sehr häufig ein (derzeit so 40 Geräte), aber so wirklich glücklich bin ich mit der Firewallkonfiguration nicht.
Ich schätze an FWBuilder einfach, dass man Objekte hat, die verlinkt werden. Ich finde, das spart viel Zeit und erhält den Überblick. Auch die verschiedenen Policies sind schön getrennt.
Grüße
Phil
Mikrotik setze ich schon sehr häufig ein (derzeit so 40 Geräte), aber so wirklich glücklich bin ich mit der Firewallkonfiguration nicht.
Ich schätze an FWBuilder einfach, dass man Objekte hat, die verlinkt werden. Ich finde, das spart viel Zeit und erhält den Überblick. Auch die verschiedenen Policies sind schön getrennt.
Grüße
Phil
