Hardwarefirewall gesucht

Mitglied: Zitruslimmonade

Zitruslimmonade (Level 2) - Jetzt verbinden

14.07.2006, aktualisiert 25.05.2007, 5422 Aufrufe, 12 Kommentare

Ich suche dringend einige Hardwarefirewall systeme

Seit kurzem habe ich mit einem Pool an Rechnern mit öffentlichen IPs zu tun (50 - 100 stk) und diese sind über ein optisches kabel zum isp direkt an das internet angeschlossen. Leider fällt die Möglichkeit einer Routerfirewall, so wie ich sie bisher nutzte damit weg. Ich suche ein Gerat was ich ans optische kabel hängen kann uns somit den ganzen verkehr der in meine und aus meiner dmz heraus läuft überwachen und filtern kann.
Hat jemand eine Idee welche Geräte dafür in frage kommen würden ??
Wäre üner Hilfe sehr dankbar

Mit freundlichen Grüßen
Chris
Mitglied: Raphael
14.07.2006 um 13:54 Uhr
Wie wärs mit einer Art Switch wo alle Optischen kabel zusammen laufen und dann zb. über eine "normale" firewall also mit Kuperkabel?

Eine etwas teurere & anspruchsvollere Lösung wäre eine Checkpoint-Firewall. Die kannst du auf einem Windows- oder Linux-Server installieren. Bei diesem kannst du auch Optische Netzwerk-Anschlüsse verbauen. (müsstest aber wieder über ein switch gehen, oder für jeden PC einen eigenen Optischen Port am server einrichten)

Checkpoint ist aber ziemlich teuer.
www.checkpoint.com
Bitte warten ..
Mitglied: Zitruslimmonade
14.07.2006 um 13:57 Uhr
mhh, soetwas wie checkpoint ist glaub ich meine letzte lösung da es ein riesen Aufwand ist den ganzen Traffic einzurichten, ausserdem ist es mir wichtig das ganze Netz zentral zu schüzuen...
Ein Router, der den optischen Traffic als input hat ist sicher die gescheitere Lösung, eventuell einer, der das ganze dann glei an ein optische kabel wieder als output gibt.
Allerdings ist mir da kein Produkt bekannt. Kannst du mir da weiterhelfen ?
Bitte warten ..
Mitglied: Otacon
14.07.2006 um 14:04 Uhr
Ich hab noch nicht viel Erfahrung aber um einen Switch der dir die sache ins Kupfer umleitet wirst du sicher nicht herrum kommen! Dannach kannst du doch aber jeden X beliebigen PC mit einer Firewall dahinter Klemmen (als Beispiel: mit IPCop -Wirklich nur mal als Beispiel-).
Sollte ich da Fahlschliegen und was Fahlsch verstanden haben, würde ich mich freun wenn ihr mich aufklären könntet (WILL ALLES WISSEN :-P )
Bitte warten ..
Mitglied: Zitruslimmonade
14.07.2006 um 14:14 Uhr
also soweit ists schon richtig, ich hab nen optical converter der mir zwei adern optical auf Kuper schaltet.. in dem converter ist glei ein switch mit drinnen ist aber nich weiter von belangen...
dazwischen also noch vor den converter hät ich gern eine Hardwarefirewall die mir den ganzen bereich also alle meine rechner abschirmt.
Warum davor ? damit der verkehr innerhalb Problemlos von statten gehen kann und die AD keine Probleme bekommt.
Ich gebs zu, ist eine abartige Struktur wenn man sich das mal so überlegt aber ich hab es auch nur so übernommen und leider ists nicht zu ändern :-( face-sad

PS: Alles wissen ist gut... zu wissen wo alles steht besser.. leute zu kennen, die wissen wo man findet was man sucht ist das beste :-) face-smile Meine Meinung
Bitte warten ..
Mitglied: Otacon
17.07.2006 um 16:40 Uhr
PS: Alles wissen ist gut... zu wissen wo
alles steht besser.. leute zu kennen, die
wissen wo man findet was man sucht ist das
beste :-) face-smile Meine Meinung

Muss ich dir zustimmen :-) face-smile.

Nun aber zu deinem Problem.

Bei schmahlem Geldbeuten empfehle ich, wie oben schon gesagt, IPCop. Einfach einen Rechner damit Füttern und die entsprechenden LAN Karten rein. Problem an der Sache ist nur, dass ich nicht weiß, in wie weit IPCop und andere Distries damit klar kommen, mit Optical LAN.

Bei geöfneten Geldbeuteln empfehle ich Securepoint. Vorteil an der sache ist das sie auch gleich HW mit anbieten nur leider ist der ganze Spaß etwas wie teuer. Und Sonst schau dich einfach mal bei HP und anderen Herstellern um, die haben Mitlerweile auch ganz gute HW Lösungen zu diesem Problem, wo auch die Preise erschwinglich sind.

Nu dann viel Spaß wa :-) face-smile

P.S.: Ich hack dich eh, hab ja eh schon deine IP :-) face-smile da schau 127.0.0.1
Bitte warten ..
Mitglied: Zitruslimmonade
17.07.2006 um 16:50 Uhr
naja das Proble ist das es kaum eine linux distribution gibt, die mit derartigen datendurchsätzen klar kommt. Auf der diesjährigen CeBIT stellten da ein paar was vor aber das lief auch eher naja...
es gibt da einige Überlegungen das ich den converter einfach vor die Firewall häng und dann gigabit Kutper durch die FW schleife in einen weiteren Switch der dann wiederum mein netz verbindet...
Es gibt einige wenige FW Systeme die bereits auf gigabit laufen aber vom Preis her sicher eher was für die Mutigen.. zwischen 3000 und 5000 für eine anständige Variante ohne Userbegrenzung...
also wenn jemand erfahrungen mit Gigabit FW und Linux hat und eventuell noch einen Vorschlag wie das ganze zu realisieren ist ohne den rechner in die Knie zu zwingen, ich würde mich freuen. So langsam bereitet mir das ganze kopfzerbrechen... noch dazu weil 100public ip-Adressen, den Sinn versteh ich einfach nich.. da ist keiner... aber ändern heist Bürokratie und Bürokratie heist mehr Kopfweh :-) face-smile

Gruss und Dank
Bitte warten ..
Mitglied: Otacon
19.07.2006 um 08:49 Uhr
Ich hab ne Lösung gefunden! also:

Fenster auf, Netzerk raus, Fenster zu, fertig :-) face-smile gut oder? :-D face-big-smile

Nuja aber wegen deinen bedenken den Rechner in die Knie zu Zwingen, versuch es doch an der Stelle mal mit einem kleinen Dell Server die sind eigentlich ziemlich gut in sachen Preis Leistung.

Und der Red Hat Server weiß ich kann auch 1GB soweit ich weiß! Und wenn du diesen dann als Firewall konfigurierst müsste es doch gehn oder?
Bitte warten ..
Mitglied: Zitruslimmonade
19.07.2006 um 09:11 Uhr
Hach ja, das wär schon was :-) face-smile ein Fenster mein ich...
Warum sind wir Sysadmins denn nur immer so benachteiligt ? dabei sind wir doch eigendlich so lieb :-) face-smile Habe leider kein Fenster bei uns im Serverraum und auch nich in meinem Büro (Dunkelkammer lässt grüssen) (Codename: Darkroom, the romm where volunteers will be lost)

Naja der Dell Server wird es nich bringen, ich habe es mal mit nem 2 Ghz Rechner getestet und das ist irgendwie nich das wahre, das bremst das ganze netzwerk aus da ja einige Daten durch die Leitungen huschen. Das Problem ist die Verarbeitung der Datenmengen. Ich hab mit nem Bekannten in den USA gesprochen, der hat mir eine Firewall von Watchguard empfohlen, die benutzen sie auch und er meinte zwar würde man es merken das etwas die Leitung blockt bei grösserem Verkehr aber das wär noch zu ertragen wenn man zum vergleich die Lösung der Konkurrenz betrachte...
Wir haben seit gestern die ersten Trojaner in unserem Netz und siehe da.. alle sind überrascht :-) face-smile ich nich und ich bin noch einigermaßen beruhigt das nur drei Rechner intensiver bedroht sind und nur mit Trojanern aufwarten. Ich werd mir also baldigst eine Lösung überlegen müssen.
Hat denn jemand Erfahrungen mit NAT loops das ich den Traffic über eine schleife durch einen Rechner jagen kann ???

Übrigenz wär ich sehr an weiteren Kontakten im Bereich der Administratoren interessiert da es doch immermal Sachen zu diskutieren gibt und ich es mag mehrere Standpunkte zu betrachten. Ausserdem hör ich gern was von der Welt, sollte also jemand interesse haben...Nachricht

Beste Grüsse
Chris
Bitte warten ..
Mitglied: Otacon
19.07.2006 um 12:01 Uhr
He He ich klaub es wird langsamm eine allein Unterhaltung :-) face-smile.

Hm so langsamm gehn mir auch die Ideen aus! Ich kann mir nicht vorstellen das du soooo große Datenmängen hin und her schiebst das das ein 1000Mbit Netz auslastest wo du doch wahrscheinlich eh keine 1000MB Down-/Upload hast oder (selbst bei einer Standleitung dürfte dies unmöglich sein)! Ich sag mal wenn das Daten immer vom selben Ort sind dann tät ich diese zwischen speichern und das selbe wenn es raus geht.

z.B.:
Paket A aus London -> per VPN -> auf Server bei dir der direkt am Netz hängt -> vom Server per Subneting dann von der Person/abhohlen und per ordentlichem Switch IP rechte geben. Damit lastest du das Netz nicht aus hast den vorteil das du verschiede Netze hast und das die Daten immer noch auf dem Server gespeichert werden. Hast das verstanden (wenn nicht sag es dann versuch ich es dir noch mal per Visio Bild zu Mailen).

Dann kannst du hinter den Server nun bzw. an eine zweite Leitung die Firewall und das dahinterligende Firmennetz bzw. den Internetzugang legen.

Ach und noch nen Vorteil hat der Spaß du, kannst die Daten gleich auf dem Server scannen und brauchst dies nicht erst im Netzwerk zu machen.

Nachteil deine Leute müssen 2 mal mehr klicken.
Bitte warten ..
Mitglied: Zitruslimmonade
19.07.2006 um 16:03 Uhr
:-) face-smile
Halli Hallo...
Ich glaub das Thema ist ein sehr spezifisches und eine breitgefächerte Diskussion ist wohl anstrengend :-) face-smile
Naja also erstmal.. hinter der Firewall wird nicht nur das alte Internet liegen sondern auch noch der Rest der Uni :-) face-smile Das heist andere Fakultäten und noch ein paar Studienräume die zu unserem Center gehören. Demzufolge auch einige Rechner die sich mit dem Server unterhalten möchten zwecks active directory. Das Problem ist nicht so sehr das Aufkommen an Daten sondern die Wartezeit besonders zu stosszeiten. Alles in allem machens gerade die kleinen Dateien und Kommunikationen in Masse die die Leitung verstopfen werden...
Unser Center ist über eine Optische Leitung mit 10 Adern zu 250 Mbit verbunden also kannst dir die maximale Durchsatzrate errechnen :-) face-smile Da ist die Standleitung von über 30 Mbit eher der Flaschenhals wenn auch nur unmerklich *angeb*

Ich habe dein Vorschlag schon verstanden nur bin ich mir nicht sicher ob er gerade in diesem Fall nützlich wäre, wohl eher nich :-) face-smile
Ich werde auf ein Angebot zurückgreifen müssen unser komplettes Netz an einem Anderen Standort via Backbone schützen zu lassen. da habe ich erstmal den fremden Verkehr ausgeschaltet, der Interne mussd dann über zwei Firewalls separiert werden um redundanz zu schaffen.
wird eine Watchguard werden denn wie erwähnt ist der Datendurchsatz bei 1000 Gbit garantiert und ausserdem stimmt das Preis/Leistungsverhältnis

beste Grüsse
Chris
Bitte warten ..
Mitglied: Otacon
20.07.2006 um 08:41 Uhr
Ah okay :-) face-smile dann wissen wir beide gleich für die Nachwelt was gut ist :-) face-smile I <3 Admins :-P
Nur mal so ich würde wegen Datendurchsatz und so Subneting machen, also verschiedene Subnetze, dann reduzierst du bekanntermassen den ganzen Spaß! Z.B. für jede Etage euer Fakultet einen IP-Bereich oder für jede Abteilung. Und wie schon gesagt, du kannst, sofern du Programierbare Switche hast, gleich auch Sicherheitsaspekte festlegen :-) face-smile.
Kann ich dir zumindest aus meinem kleinen Heimnetzwerk nur gutes berichten :-) face-smile

Und ich denk mal wenns bei mir schon geht (unter sicher schwereren Bedingungen als bei dir) wird das bei dir nen klags. Da du vorallem nicht den anschein machst auf die Rübe gefallen zu sein wie manche unserer Kollegen :-D face-big-smile. Nixs für ungut...

Gut Adios bis denne



P.s.: Kannst ja mal ne Private Naricht mit Mailadresse oder anderer Kommunikationsmöglichkeiten schicken.
Bitte warten ..
Mitglied: 48672
48672 (Level 1)
25.05.2007 um 21:26 Uhr
Schau mal bei www.bsi.de nach, vielleicht hilft Dir dies weiter?
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 19 StundenFrageWindows 1036 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 14 StundenFrageOff Topic17 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 16 StundenTippHumor (lol)8 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 1 TagFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...