Suche Firewall WLAN routing WAN Load Balancing

Mitglied: Razer1

Razer1 (Level 1) - Jetzt verbinden

04.04.2016, aktualisiert 05.04.2016, 970 Aufrufe, 4 Kommentare, 1 Danke

Hallo zusammen,

ich suche eine gute Firewall für unser Unternehmen. Bislang erledigt das unser Lancom Router, deshalb soll ein wenig aufgerüstet werden. Sollte natürlich nicht zu teuer werden und ein Web-, sowie Mailfilter enthalten. Ein Gatway Anti Viren scanner wäre auch nicht schlecht. Hätte da evlt an eine WatchGuard Firebox M200 gedacht. Was mir dabei nicht gefällt sind die jährlichen Kosten für die Dienste. -> Wird man nicht drum herum kommen, aber sollten gering gehalten werden.

Ich gebe euch erstmal die Eckdaten:

Was ist vorhanden:
1x Lancom 1781-4G mit LTE und einer SDSL Leitung (Load Balancing)
Unifi WLAN mit 3 SSID's (Firmen LAN, Internet Mitarbeiter, Gastzugang)
HP 1810-48G
HP 2810-24G
Unmanaged POE Switch 8Port

Server:
Domain Controller (DHCP,DNS)
Exchange
FileServer (IIS,FTP)

Welche Dienste müssen erreichbar sein:
FTP
IIS (Webservice für Datenabfrage)

Wie sieht die Infrastruktur aus?

VLAN100: FirmenLAN 192.168.1.XX /24 (DHCP: Domain Controller)
VLAN200: BesucherLAN 192.168.2.XX /24 (DHCP: Lancom)

WLAN:
SSID1: VLAN100
SSID2: VLAN200
SSID3: VLAN200 mit Zugangscodes (Captive portal)

Die Switches sind untereinander mit einem 2G TRUNK verbunden und sind VLAN Tagged auf allen VLAN's.

Der LANCOM ist mit 2 NIC's an einen HP1810 angebunden. 1 NIC steht im VLAN100 und 1 NIC im VLAN200. Im VLAN200 macht der Lancom zusätzlich noch DHCP.

Da das WLAN mit SSID1 direkt im LAN hängt wollte ich dieses herauslösen (neues VLAN300) und Routen, damit der ganze LAN Broadcast nicht das WLAN belastet.
Da kein L3 Switch vorhanden ist sollte dies direkt mit der Firewall abgedeckt werden oder wäre dies zu unperformant? Sonst müsste ein L3 Switch angeschafft werden.
Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.

Danke für eure Hilfe. Ich weiß das dies ein wenig umfangreicher ist.
Mitglied: catachan
LÖSUNG 04.04.2016 um 10:05 Uhr
Hi

Was mir dabei nicht gefällt sind die jährlichen Kosten für die Dienste

Nachdem bei so UTM Firewalls ständig Updeates für AV und IPS kommen wirst du da bei den meisten Herstellern nicht drum rum kommen. Die meisten machen das als Subscription (Cisco, Fortinet, Barracuda, Sophos etc..)

LG
Bitte warten ..
Mitglied: Razer1
04.04.2016 um 10:24 Uhr
Zumindestens sollten sie gering gehalten werden.
LG
Bitte warten ..
Mitglied: Valexus
LÖSUNG 04.04.2016, aktualisiert um 17:09 Uhr
Moin,

da ich gerade die meisten großen Hersteller durch probiert habe kann ich dir uneingeschränkt Barracuda empfehlen!

Da kein L3 Switch vorhanden ist sollte dies direkt mit der Firewall abgedeckt werden oder wäre dies zu unperformant? Sonst müsste ein L3 Switch angeschafft werden.
Kommt natürlich immer drauf an wie viel Durchsatz du brauchst. Zwischen Intern und Gast sollte ja nicht viel Traffic fließen oder?
In der Firewall kann man natürlich sehr viel schöner filtern, was bei ACLs etwas schwieriger ist (kein SPI).

Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Natürlich von der Firewall!

Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.
Kein Problem ;)

VG
Val
Bitte warten ..
Mitglied: Razer1
05.04.2016 um 09:04 Uhr
da ich gerade die meisten großen Hersteller durch probiert habe kann ich dir uneingeschränkt Barracuda empfehlen!
Danke werde ich mir mal anschauen...

Kommt natürlich immer drauf an wie viel Durchsatz du brauchst. Zwischen Intern und Gast sollte ja nicht viel Traffic fließen oder?
In der Firewall kann man natürlich sehr viel schöner filtern, was bei ACLs etwas schwieriger ist (kein SPI).
Geht mir um die Anbindung HauptLAN (VLAN100) - WLAN (SSID1) mit min. 1GB/s.. die SSID1 soll in ein neues VLAN300 und zwischen VLAN100 und 300 ungefiltert geroutet werden.
VLAN200 (GAST) hat nur zugriff auf das Internet und soll direkt von der Firewall gefiltert werden.

>>Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Natürlich von der Firewall!
OK. Danke

Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.
Kein Problem ;)

Hatte ich mir auch nicht als Problematisch vorgestellt.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware18 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 18 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...