MJG 10 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 Hallo, mir würde interessieren welche Firewall ihr einsetzt für eure Unternehmen. Was ist besser bzw. sicher Linux Firewall oder ISA Server? MFG MJG Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 ich bin genauso auf der suche nach der optimalen firewall ;) die fragen mit der du dich als erstes beschäftigen solltest sind, was du damit machen willst und wo der finanzielle rahmen ist lg Zitieren Link zu diesem Kommentar
Muffel 11 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 Was ist besser bzw. sicher Linux Firewall oder ISA Server? Die Frage klingt wie "Was ist besser, Obst oder Telefon?". Zitieren Link zu diesem Kommentar
MJG 10 Geschrieben 16. Oktober 2007 Autor Melden Teilen Geschrieben 16. Oktober 2007 hallo Danke für eure Antwort... @Muffel.... wir haben Linux als Firewall und mit ISA kenn ich mich nicht aus deshalb die frage. lg Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 Was ist besser bzw. sicher Linux Firewall oder ISA Server? Das hängt wie immer von den berühmten " 60cm " ab, sprich dem Admin welcher davor sitzt. Welche Umgebung hast du denn und was wird benötigt an Features ? Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 ohne jetzt auf die wichtigen fragen wie finanz. rahmen usw. eingehen zu wollen, wir verwenden die watchguard im headquarter und in 2 niederlassungen. in einer anderen eine cisco asa 5525. die watchguards kann ich nur empfehlen, feines handling, gute features, preis ist imho auch ok... wie gesagt, zu einer empfehlung bräuchte es noch mehr infos. gutes nächtle noch mfg hannes Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 16. Oktober 2007 Melden Teilen Geschrieben 16. Oktober 2007 Hi, also zuerst mal solltet ihr euch, falls noch nicht geschehen, überlegen wie euer Firewallkomplex aussehen soll und was dieser alles leisten muß. Verschiedene Szenarien findest du z. B. hier: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de Empfehlungen gibts auf Startseite Bundesamt für Sicherheit in der Informationstechnik Danach geht es an die Auswahl der Produkte. Ich persöhnlich würde (Microsoft möge mir verzeihen) würde mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. Eine Firewall auf der noch so viel anderes läuft gehört da meiner Meinung nicht hin. Für die interne Firewall (hin zur DMZ und zum CN) ist die ISA FW aber ein geniales Produkt, da man hier diverse Einstellungen z. B. mit Hilfe von AD Gruppen regeln kann. Ich habe in letzter Zeit etwas mit Astaro Firewalls (Astaro Internet Security - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam.) "gespielt" und muß zugeben, dass diese bei sehr einfacher Handhabung und genialem Leistungsumfang (Stichwort: SMTP-, Web-, FTP-Proxy, Mailbenachrichtungen...) einen sehr guten Eindruck hinterlassen haben. Gruß Zitieren Link zu diesem Kommentar
MJG 10 Geschrieben 17. Oktober 2007 Autor Melden Teilen Geschrieben 17. Oktober 2007 Hi All, Danke für eure Antworten.... kurz info.. wir haben folgende Szenario: IST-Zustand Internet-->Router-->Firewall (Linux) hinter der Firewall sind unsere Clients und Servers. auf der Firewall ist VPN, Mail-Relay, spamassassin und Spamfilter. wir wollen jetzt einen DMZ einrichten so das die Servers in der DMZ steht. Astaro Firewalls hört sich gut an ist das ok? Astaro Firewall --> ISA Server (DMZ) Servers --> Interne Clients ? MFG MJG Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 17. Oktober 2007 Melden Teilen Geschrieben 17. Oktober 2007 ist das ok? Astaro Firewall --> ISA Server (DMZ) Servers --> Interne Clients ? Hi, schau dir mal den Link zu Serverhowto.de an den ich oben gepostet habe - dort wird genau erklärt was eine DMZ ist und welche Maschinen wo hin gehören. Gruß Zitieren Link zu diesem Kommentar
Wurstsalat 10 Geschrieben 17. Oktober 2007 Melden Teilen Geschrieben 17. Oktober 2007 Danach geht es an die Auswahl der Produkte. Ich persöhnlich würde (Microsoft möge mir verzeihen) würde mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. Eine Firewall auf der noch so viel anderes läuft gehört da meiner Meinung nicht hin. Für die interne Firewall (hin zur DMZ und zum CN) ist die ISA FW aber ein geniales Produkt, da man hier diverse Einstellungen z. B. mit Hilfe von AD Gruppen regeln kann. naja als frontfirewall würd ich se auch nicht unbedingt direkt ins ad einbinden aber ansonsten wieso nicht vorne hin? windows lässt sich ja schon härten und es gibt inzwischen ja auch appliances die das quasi "out of the box" liefern (forefront)... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 17. Oktober 2007 Melden Teilen Geschrieben 17. Oktober 2007 naja als frontfirewall würd ich se auch nicht unbedingt direkt ins ad einbinden aber ansonsten wieso nicht vorne hin? windows lässt sich ja schon härten und es gibt inzwischen ja auch appliances die das quasi "out of the box" liefern (forefront)... Nur weil es ein Produkt dazu gibt, heißt das noch lange nicht, dass es auch gut bzw. sicher ist. Allerdings muß man dazu sagen, dass ich Auditor im Finanzsektor bin und daher mit etwas anderen Maßstäben messe. Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben... just my 2 cents Zitieren Link zu diesem Kommentar
Wurstsalat 10 Geschrieben 17. Oktober 2007 Melden Teilen Geschrieben 17. Oktober 2007 Nur weil es ein Produkt dazu gibt, heißt das noch lange nicht, dass es auch gut bzw. sicher ist. Allerdings muß man dazu sagen, dass ich Auditor im Finanzsektor bin und daher mit etwas anderen Maßstäben messe. Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben... just my 2 cents ich mach diese aussage sicher nicht von der reinen existenz des produkts abhängig aber wenn man bedenkt wieviel sicherheitslücken die ms sicherheitslösungen im enterprise berreich bisher aufwiesen und wie andere produkte dagegen dastehen, kann ich nicht behaupten dass ein ms produkt da schlechter dasteht... just meine ;) Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 17. Oktober 2007 Melden Teilen Geschrieben 17. Oktober 2007 Ich persöhnlich würde ... mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. ... ...Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben... Ich habe in letzter Zeit etwas mit Astaro Firewalls ... "gespielt" und muß zugeben, dass diese bei sehr einfacher Handhabung und genialem Leistungsumfang (Stichwort: SMTP-, Web-, FTP-Proxy, Mailbenachrichtungen...) einen sehr guten Eindruck hinterlassen haben. Hallo Johannes, ich hab durchaus Sympathien für Deine Ansichten hinsichtlich des ISA-Servers bzw. zum zu Grunde liegenden OS. Je weniger Zeilen Code, desto weniger Fehler können drin sein. Mit steigender Komplexität eines Produktes steigt die Wahrscheinlichkeit, dass Entwickler und/oder Admin Fehler machen. Umso mehr amüsiert und verwundert es mich, dass Du gleich im Anschluss die Astaro lobpreist. Sie ist unzweifelhaft gut gemacht, jedoch ein klarer Verstoß gegen den vorgenannten Grundsatz! Hauptsache viele Features aus verschiedenen Quellen in einer Box zusammengefrickelt.... :rolleyes: Ich sehe den Trend zu All-In-One UTM-Boxen - so charmant sie auf den ersten Blick auch sein mögen - jedenfalls sehr kritisch! Wie oft hat man beispielsweise schon lesen müssen, dass Antivirus-/Antispam-Gateways durch entsprechend präparierte Mails attackiert werden konnten (Symantec, F-Secure, Trend Micro...)? Jede (Sicherheits-)Lösung schafft halt neue (Sicherheits-)Probleme - das ist normal. Ist es nicht allein deshalb schon sinnvoller, Teilaufgaben auf spezialisierte Systeme aufzuteilen, damit die Kompromittierung eines Teilsystems nicht sofort zum Flächenbrand wird? Ich plädiere jedenfalls sehr dafür, die "klassische" Firewallfunktionaliät bis Layer 4 von den Application-Level-Gateways und sonstigen auf höheren Schichten arbeitenden Diensten zu trennen. Gruß Steffen Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Es kommt hier halt auf die zu Schützende Umgebung an - da musst du unterscheiden. Wenn man wie Johannes im Bankenumfeld arbeitet macht dieser Weg sicher Sinn. Um einen einzelnen SBS-Server zu schützen, finde ich eine Gallerie von Firewalls aber überdimensioniert. Nicht umsonst bietet Trendmicro kombinierte Appliances für SMB und aufgeteilte einzelne Appliances für Großfirmen an. Nur so als Beispiel... LG Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 18. Oktober 2007 Melden Teilen Geschrieben 18. Oktober 2007 Hallo Johannes, ich hab durchaus Sympathien für Deine Ansichten hinsichtlich des ISA-Servers bzw. zum zu Grunde liegenden OS. Je weniger Zeilen Code, desto weniger Fehler können drin sein. Mit steigender Komplexität eines Produktes steigt die Wahrscheinlichkeit, dass Entwickler und/oder Admin Fehler machen. Umso mehr amüsiert und verwundert es mich, dass Du gleich im Anschluss die Astaro lobpreist. Sie ist unzweifelhaft gut gemacht, jedoch ein klarer Verstoß gegen den vorgenannten Grundsatz! Hauptsache viele Features aus verschiedenen Quellen in einer Box zusammengefrickelt.... :rolleyes: Es kommt immer auf das Einsatzgebiet an. In einem richtigen großen high secure Environment würde ich nie und nimmer auf die Idee kommen einen SPAM Filter oder MailProxy (etc) direkt auf der äußeren FW zu betreiben. Für kleine Netze kann das jedoch durchaus Sinnvoll sein. Unabhängig davon kann ein Dienst wie ein MailProxy zu den Diensten gehören, die da unbedingt sein müssen :wink2: Ein Window Manager z. B. gehört da aber nicht hin... Ich sehe den Trend zu All-In-One UTM-Boxen - so charmant sie auf den ersten Blick auch sein mögen - jedenfalls sehr kritisch! Wie oft hat man beispielsweise schon lesen müssen, dass Antivirus-/Antispam-Gateways durch entsprechend präparierte Mails attackiert werden konnten (Symantec, F-Secure, Trend Micro...)? Jede (Sicherheits-)Lösung schafft halt neue (Sicherheits-)Probleme - das ist normal. Ist es nicht allein deshalb schon sinnvoller, Teilaufgaben auf spezialisierte Systeme aufzuteilen, damit die Kompromittierung eines Teilsystems nicht sofort zum Flächenbrand wird? Ich plädiere jedenfalls sehr dafür, die "klassische" Firewallfunktionaliät bis Layer 4 von den Application-Level-Gateways und sonstigen auf höheren Schichten arbeitenden Diensten zu trennen. Gruß Steffen Wie gesagt es kommt auf den Einsatz und das Schutzbedürfnis an. In meinem privaten Netz zuhause setze ich z. B. eine normale Firewall box ein um das I-Net von meiner DMZ zu trennen. In der DMZ stehen dann die Mail-, Web- und Proxyserver und die Verbindung von DMZ zu lan wird durch eine astaro gesichert. Für mich privat reicht das (finde ich). In meinem Arbeitsumfeld sieht das ganz anderst aus :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.