razer1
Goto Top

Suche Firewall WLAN routing WAN Load Balancing

Hallo zusammen,

ich suche eine gute Firewall für unser Unternehmen. Bislang erledigt das unser Lancom Router, deshalb soll ein wenig aufgerüstet werden. Sollte natürlich nicht zu teuer werden und ein Web-, sowie Mailfilter enthalten. Ein Gatway Anti Viren scanner wäre auch nicht schlecht. Hätte da evlt an eine WatchGuard Firebox M200 gedacht. Was mir dabei nicht gefällt sind die jährlichen Kosten für die Dienste. -> Wird man nicht drum herum kommen, aber sollten gering gehalten werden.

Ich gebe euch erstmal die Eckdaten:

Was ist vorhanden:
1x Lancom 1781-4G mit LTE und einer SDSL Leitung (Load Balancing)
Unifi WLAN mit 3 SSID's (Firmen LAN, Internet Mitarbeiter, Gastzugang)
HP 1810-48G
HP 2810-24G
Unmanaged POE Switch 8Port

Server:
Domain Controller (DHCP,DNS)
Exchange
FileServer (IIS,FTP)

Welche Dienste müssen erreichbar sein:
FTP
IIS (Webservice für Datenabfrage)

Wie sieht die Infrastruktur aus?

VLAN100: FirmenLAN 192.168.1.XX /24 (DHCP: Domain Controller)
VLAN200: BesucherLAN 192.168.2.XX /24 (DHCP: Lancom)

WLAN:
SSID1: VLAN100
SSID2: VLAN200
SSID3: VLAN200 mit Zugangscodes (Captive portal)

Die Switches sind untereinander mit einem 2G TRUNK verbunden und sind VLAN Tagged auf allen VLAN's.

Der LANCOM ist mit 2 NIC's an einen HP1810 angebunden. 1 NIC steht im VLAN100 und 1 NIC im VLAN200. Im VLAN200 macht der Lancom zusätzlich noch DHCP.

Da das WLAN mit SSID1 direkt im LAN hängt wollte ich dieses herauslösen (neues VLAN300) und Routen, damit der ganze LAN Broadcast nicht das WLAN belastet.
Da kein L3 Switch vorhanden ist sollte dies direkt mit der Firewall abgedeckt werden oder wäre dies zu unperformant? Sonst müsste ein L3 Switch angeschafft werden.
Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.

Danke für eure Hilfe. Ich weiß das dies ein wenig umfangreicher ist.

Content-Key: 300845

Url: https://administrator.de/contentid/300845

Printed on: July 17, 2024 at 19:07 o'clock

Member: catachan
Solution catachan Apr 04, 2016 at 08:05:55 (UTC)
Goto Top
Hi

Was mir dabei nicht gefällt sind die jährlichen Kosten für die Dienste

Nachdem bei so UTM Firewalls ständig Updeates für AV und IPS kommen wirst du da bei den meisten Herstellern nicht drum rum kommen. Die meisten machen das als Subscription (Cisco, Fortinet, Barracuda, Sophos etc..)

LG
Member: Razer1
Razer1 Apr 04, 2016 at 08:24:53 (UTC)
Goto Top
Zumindestens sollten sie gering gehalten werden.
LG
Mitglied: 119944
Solution 119944 Apr 04, 2016 updated at 15:09:44 (UTC)
Goto Top
Moin,

da ich gerade die meisten großen Hersteller durch probiert habe kann ich dir uneingeschränkt Barracuda empfehlen!

Da kein L3 Switch vorhanden ist sollte dies direkt mit der Firewall abgedeckt werden oder wäre dies zu unperformant? Sonst müsste ein L3 Switch angeschafft werden.
Kommt natürlich immer drauf an wie viel Durchsatz du brauchst. Zwischen Intern und Gast sollte ja nicht viel Traffic fließen oder?
In der Firewall kann man natürlich sehr viel schöner filtern, was bei ACLs etwas schwieriger ist (kein SPI).

Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Natürlich von der Firewall!

Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.
Kein Problem ;)

VG
Val
Member: Razer1
Razer1 Apr 05, 2016 at 07:04:23 (UTC)
Goto Top
da ich gerade die meisten großen Hersteller durch probiert habe kann ich dir uneingeschränkt Barracuda empfehlen!
Danke werde ich mir mal anschauen...

Kommt natürlich immer drauf an wie viel Durchsatz du brauchst. Zwischen Intern und Gast sollte ja nicht viel Traffic fließen oder?
In der Firewall kann man natürlich sehr viel schöner filtern, was bei ACLs etwas schwieriger ist (kein SPI).
Geht mir um die Anbindung HauptLAN (VLAN100) - WLAN (SSID1) mit min. 1GB/s.. die SSID1 soll in ein neues VLAN300 und zwischen VLAN100 und 300 ungefiltert geroutet werden.
VLAN200 (GAST) hat nur zugriff auf das Internet und soll direkt von der Firewall gefiltert werden.

Wäre es zudem zu Empfehlen das Load Balancing der beiden Anschlüsse von der Firewall verwalten zu lassen oder die noch vom Lancom erledigen zu lassen?
Natürlich von der Firewall!
OK. Danke

Die Serverdienste (IIS, FTP, Exchange) sollen standartmäßig über die SDSL laufen, HTTP usw. soll Session basiert verteilt werden auf LTE und SDSL.
Kein Problem ;)

Hatte ich mir auch nicht als Problematisch vorgestellt.