bangert
Goto Top

Welche Firewall eignet sich am besten

Hallo,

da ich am Ende meines Wissens bin und die Zeit drängt, möchte ich euch mal um Hilfe bitten.


Hier um was es geht:

Mein Abschlussprojekt besteht daraus, ein redundantes Storage Area Network aufzubauen, zu konfigurieren, zu testen und in eine bestehende Netztopologie mit Internet-Zugang zu integrieren. Das Storage Area Network soll aus einem Raid-5-System bestehen, das über FibreCat an 2 redundante Windows 2003 Server angebunden sein soll. So soll gewährleistet werden, dass das Raid-Cluster jederzeit Verfügbar und Ansprechbar ist. Die Windows 2003 Server müssen so konfiguriert werden, dass im Falle eines Ausfalls eines Servers die redundante Komponente den Betrieb weiterhin gewährleistet. Der aktive Windows 2003 Server wird von den Usern über einen Domänen-Kontroller angesprochen. Die User, die an den Domänen-Kontroller angebunden sind, können zwar mit ihren Clients auf das Internet und auf das Raid-Cluster zugreifen, jedoch soll ein Zugriff auf das Raid-Cluster vom Internet aus mittels einer Firewall verhindert werden. So werden die Sicherheitsbetrachtungen der Firewall in jeder Hinsicht überprüft und so konfiguriert, dass kein Zugriff auf das Raid-Cluster über das Internet möglich ist.

Nun benötige ich eure Hilfe zur Lösung des Problems mit der Firewall. Welche Firewall eignet sich für sowas am besten, welche
Features sollte sie haben? Was für eine Firewall würdet ihr nehmen und wie würdet ihr sie konfigurieren, d.h. würdet ihr nen Paketfilter nehmen und nur bestimmte Datenpakete durchlassen oder wie würdet ihr es machen??

Danke schonmal jetzt.

MFG Bangert

Content-ID: 83374

Url: https://administrator.de/contentid/83374

Ausgedruckt am: 17.11.2024 um 05:11 Uhr

ithi
ithi 18.03.2008 um 13:42:51 Uhr
Goto Top
Welche Firewall eignet sich für sowas am
besten, welche
Features sollte sie haben?
Das ist schon fast Geschmackssache. Die meisten Firewall-Produkte ähneln sich sehr, so dass viele nur noch über Handhabung Unterschiede in ihren Funktionen aufweisen. Die Frage welches Produkt ist weniger interessant, als die Frage der Konfiguration, die Du ja auch schon gestellt hast.
Zur Frage der Produkte würde ich Dir empfehlen, Dich mal auf den Produkthomepages umzuschauen. Da gibt es meist einen Testserver, den Du anfassen darfst. So kannst schauen mit was Du zurecht kommst.

Ich benutze häufig für Teststellungen, oder auch im privaten Bereich die Firewall von Astaro (http://www.astaro.de/).
Für private Zwecke kannst Du diese sogar mit max. fünf Benutzern kostenlos einsetzen (Lizenz bekommst Du per Mail).

Zur Konfiguration:
Natürlich alle möglichen Sicherheitsfeatures incl. IDS einschalten, u.U. nur Standardmäßig aktivieren. So viele Dienste/Ports für einen selbstständigen Cluster sind es sicherlich auch wieder nicht.
Und da Du schon einen DC und einen DNS hast, brauchst Du diese auch nicht weiter berücksichtigen. Nur wenn Du den Zugriff über Internet per VPN zulassen möchtest (was ich wenn empfehle), wird es ein wenig schwieriger. Zumindest hab ich daran schon immer zu fummeln gehabt. Ich beschäftige mich damit einfach zu wenig, und dann kommt hinzu, dass ich es so selten einrichte... Fernzugriff ist sowieso immer eine heikle Sache. Wenn Du das in dein Projekt mit aufnehmen solltest, verweise unbedingt auch aufs BSI-Grundschutz-Handbuch/-Katalog (http://www.bsi.de/gshb/index.htm) und http://www.bsi.de/gshb/deutsch/index.htm).

Sorry, aber viel mehr kann ich Dir dazu nicht sagen, weil ich Dein Projekt auch nicht kenne. Zumal habe ich auch noch nie eine Anforderung wie deine in dem Projekt bearbeitet (zu kleines Licht).

Ich hoffe, ich konnte Dir ansatzweise helfen.
Bangert
Bangert 18.03.2008 um 14:33:57 Uhr
Goto Top
Danke, für deine Antwort.
Doch das hat mir ehrlich gesagt schon ein bisschen weiter geholfen.

Nur hab ich halt keinen Plan, auf welchen Rechner die Firewall drauf soll, oder ob ich sowas wie den Cisco ASA Router benutzen soll. Und welche Ports ich frei gegeben muss ist mir auch noch nicht so genau bewusst.
Auf der SAN sollen später mal Datenbankanwendungen laufen.
Und VPN-Zugriff würde ich schon gern machen können.
aqui
aqui 18.03.2008 um 15:23:40 Uhr
Goto Top
Sowas macht man im professionellen Umfeld niemals mit SW auf dem Rechner wie bei Hans Piepenbrink in seinem Heimnetzwerk, sondern mit einer externen Firewall !!! Die Server sollen servern... und nicht auch noch Firewall spielen, das sollte klar sein !
Das was ithi richtigerweise oben zitiert bezieht sich auch auf externe Systeme so wie es in einer professionellen Umgebung (..wie du sie ja auch planst !) gang und gäbe ist.

Fast alle midrange FW Appliances sei es Astaro, Watchguard etc. um mal die bekanntesten zu nennen haben ein gehärtetes Linux an Bord so das es kosemtisch egal ist was du dort verwendest. Mit den beiden genannten Produkten bist du da auf der sicheren Seite. Im High End bereich hast du da Netscreen, Checkpoint und Co.
Letztlich ist es aber abhängig wie dein Netz aussieht und vor allen Dingen was für Applikationen dort laufen.
Einen Pauschalrat gibt es da nicht !!
Bangert
Bangert 18.03.2008 um 15:25:48 Uhr
Goto Top
Also auf der SAN sollen mal Datenbankanwendungen laufen.
Hab hier mal ein Bild das ungefähr den Netzaufbau zeigt.

[URL=http://img254.imageshack.us/my.php?image=netzplanwb3.jpg][IMG]http://img254.imageshack.us/img254/2091/netzplanwb3.th.jpg[/IMG][/URL]
aqui
aqui 18.03.2008 um 15:39:26 Uhr
Goto Top
Es bleibt aber dabei das man sowas in einem professionellen Rahmen mit externen FW löst wie z.B.:

http://www.watchguard.com/international/de/

http://www.astaro.de/our_products/astaro_security_gateway/hardware_appl ...

usw. usw.
Bangert
Bangert 19.03.2008 um 08:45:03 Uhr
Goto Top
So, es gab ne Änderung.

Also die User in der Domäne haben Internet und Intranet Zugang, diese bestehen schon länger.
Die User, die an den Domänen-Kontroller angebunden sind, sollen zwar mit ihren Clients auf das Internet und auf das Raid-Cluster zugreifen können, jedoch soll ein Zugriff auf das Raid-Cluster vom Internet aus mittels einer Firewall verhindert werden.

Jetzt kann ich doch einfach noch eine Firewall einbinden, die alle Ports von außen zu macht und von innen den Zugriff auf das Internet erlaubt. Oder nicht?
Hab mir gedacht, dass ich das mit ner Lösung von Astaro durchführen kann.

http://www.astaro.de/our_products/astaro_security_gateway/hardware_appl ...
aqui
aqui 19.03.2008 um 10:10:03 Uhr
Goto Top
Ja, das wäre ein richtiger und guter Ansatz. Der Hersteller der FW ist dabei nicht ganz so wichtig !
ithi
ithi 19.03.2008 um 13:39:33 Uhr
Goto Top
Ich würde sogar soweit gehen die Firewall nur "als zwingend Notwendig" zu erwähnen und gar nicht in dieses Projekt aufzunehmen. Denn, ich glaube, aus der Firewall-Einrichtung/-Installation könntest Du ein eigenes Projekt machen.