Jump to content

Empfehlung Hardware-Firewall und Konzept


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich benötige Hilfe bei der Auswahl einer Hardwarefirewall und ggf. auch den einen oder anderen Kommentar zu meinem Vorhaben.

 

Derzeit habe ich folgende simple Konfiguration:

 

Internet ===== Lancom 1711 VPN ----- internes Netzwerk

 

Der Lancom fungiert als Router mit NAT und Firewall. Die Anbindung ans Internet erfolgt mittels einer Company Connect 2,5 MBit, sowie einer ADSL-Leitung als Backup. Derzeit erfolgen Verbindungen lediglich vom internen Netzwerk nach außen (http, smtp, pop, ...). Es existieren keine VPN Zugänge.

 

Das ganze soll nun zu einem 2-stufigen Firewallkonzept mit DMZ ausgebaut werden. In die DMZ kommt zunächst nur ein Mail-Relay und Web-Proxy. Weiterhin soll die Möglichkeit vorgesehen werden, später einige wenige VPN-Zugänge zu ermöglichen. Vorhandene Technik soll natürlich möglichst weiterverwendet werden.

 

Ich stelle mir den Aufbau wie folgt vor:

 

Internet ===== Firewall 1 ----- Mail-Relay/Proxy ----- Firewall 2 ----- internes Netzwerk

 

Da ich den Lancom gerne als eine der Firewalls einsetzen würde, benötige ich natürlich zunächst eine weitere Hardware-Firewall. Außerdem ergeben sich für mich einige Fragen.

 

  1. Welche Hardware-Firewall eignet sich für obiges vorhaben? Ein 2. Lancom 1711 oder doch etwas von einem anderen Hersteller?
  2. Soll der vorhandene Lancom dann eher Firewall 1 oder 2 werden?
  3. Wo würde vernünftigerweise der Endpunkt für zukünftig einzurichtende VPN-Zugänge liegen?
  4. Sonstige Kommentare, die mir unnötige Fehler ersparen?

 

Ich danke euch für eure Mithilfe.

 

Grüße

Stephan

Link zu diesem Kommentar

Das ganze soll im geschäftlichen Umfeld eingesetzt werden. Qualität geht also vor. Ein kleiner Preis ist natürlich trotzdem immer erwünscht. Kennt ja jeder.

 

Die Änderung der Infrastruktur gibt sich aus der Anforderung, die Mailabholung per POP beim Provider durch SMTP zu ersetzen. Intern rennt dann ein Exchange und ohne Mail-Relay und DMZ sehe ich das als indiskutablen Selbstmord an.

Die (theoretisch) gesteigerte Sicherheit durch zwei Firewalls nehme ich da gerne gleich mit.

 

Die Entscheidung gegen eine Appliance als Firewall + Relay resultiert aus dem Gedanken, später flexibler zu sein und mehr Dienste in der DMZ zu veröffentlichen. Wir denken da an Datenbereitstellung für Kunden, also Webserver usw. Aber das kommt erst später.

 

ich hoffe, diese Infos machen das Bild noch etwas klarer.

Link zu diesem Kommentar

Hi,

 

bekommst gleich mal einen Plus Punkt von mir - bin ein absoluter Verfechter von zweistufigen Firewall Umgebungen ;)

 

Ich muß allerdings zugeben, dass ich mich mit den Produkten von Lancom bis jetzt nicht wirklich (im geschäftlichen Umfeld) beschäftigt habe. Bietet das Produkt denn alles was du für deinen Aufbau brauchst und vor allem kann es dir den Durchsatz und die Sicherheitsfunktionen bieten, die du brauchst?

 

Wie von jmumu schon erwähnt macht es beim Aufbau einer solchen Umgebung Sinn Produkte von zwei unterschiedlichen Herstellern zu verwenden. Ein Angreifer der erfolgreich die externe Firewall überwinden könnte, müßte somit anschließend auch noch deine Proxy's überwinden und die interne Firewall - wenn euer Monitoring auch nur ein wenig was drauf hat, dann solltet ihr das bis dahin bemerkt haben...

 

Da du erwähnt hast, dass ihr plant das ganze noch aussen noch weiter aufzubohren, würde ich mir an deiner Stelle "erwachsenen" appliances anschauen die du je nach Bedarf auch erweitern oder u. U. auch clustern kannst (gerade wenn man seinen Kunden Daten zur Verfügung stellt macht das oft durchaus Sinn...).

 

Ich habe bis jetzt primär mit Enterprise Systemen wie Checkpoint etc. zu tun gehabt - privat habe ich aber auch schon etwas mit Astaro Geräten gespielt und diese könnten für deinen Zweck vermutlich ausreichend sein.

 

Wenn du eine richtige FW kaufst, würde ich das Lancom teil vermutlich eher nach innen legen - da muß es auch mit weniger Last umgehen. Als mail und webproxy würde ich mir den ISA Server anschauen der ist auf dem Gebiet sehr leistungsfähig.

 

Die Frage mit dem VPN Endpunkt ist nicht so einfach. Nach der reinen lehre sollte nichts ins LAN kommen was nicht in der DMZ terminiert wird. Da man jedoch die Ports für ein VPN nicht einschränken möchte, ist es auch **** eine VPN-Endpunkt - ANY Regel auf die interne FW zu legen. Die meisten Aufbauten die ich bis jetzt gesehen habe terminieren also im internen LAN (wobei man natürlich hohe Ansprüche an die Authentifizierung setzen sollte; Stichwort token).

 

@unnötige Fehler:

Bei einem dual layer fw Aufbau sollte man natürlich darauf achten, dass alle Server in der DMZ dual homed sind und das keine direkte Verbindung von FW 1 zu FW 2 besteht.

Das Thema FW Management Server sollte man schon in der Planung betrachten. Ebenso das Thema logging und monitoring.

 

Viele Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...