Cisco PIX

[Cort 10]

Hallo!

 

Ich habe ein kleines Projekt auf meinen Schreibtisch bekommen, eine Web- / Mailserver Umgebung mit einer DMZ und einem getrennten LAN. (siehe Anlage)

 

Die Firewalls sollen Cisco PIX Firewalls sein. Nur welche ist für diesen Zweck geeignet?

 

Ist mein Netzwerkaufbau überhaupt so in ordnung? Ich habe einiges zu diesem Aufbau im ZDnet gefunden, und hab die erste Firewall einfach mit eingebaut.

 

 

Jetzt schon mal danke für eure Hilfe!!

netzwerkaufbau in 3 segmenten.doc

[scooby 10]

Hi,

 

wozu willst du zwischen dem Web Server und deinem Lan nochmal eine Firewall einsetzen?? Ich würde sagen Setze Die Firewall gleich nach dem Router ein. Wischen deinen Webserver und den Usern würde ich nur mir ACL arbeiten, wenn dort etwas bestimmtes geblockt werden soll. ´Welceh Pixs dafür ausreichend ist kann ich dir leider nicht benatworten, da ich mich mit dem Produkt nicht auskenne, aber es hängt natürlich davon ab wie schnell ist die x25 Strecke wieviel User hast du hinten dran sitzen, wie stark oder nicht stark wird das Internet genötigt. Das sind Fragen die dabei ins Gewicht fallen.

[Cort 10]

Hi scooby

 

die zweite Firewall hatte ich eigentlich dafür gedacht die DMZ vor dem LAN abzuschotten.

An eine Lösung über ACL hatte ich ehrlich gesagt noch gar nicht nachgedacht. Das könnte dann ein entsprechender Switch erledigen? (als Switch hatte ich an sowas wie HP Procurve 2626 gedacht, soll skalierbar sein)

 

Die Inetverbindung wird eine 2Mbit E1 Leitung sein (erstmal).

 

Zur Firewall, sie sollte NAT und PAT unterstützen (oder kann das auch ein Switch?). Da die Server in der DMZ Dienste für Kunden anbieten sollen ist die Leitung in Richtung X.25 -> DMZ sicher recht stark genutzt.

Die User im LAN sollten eigentlich gar nicht über die E1 nach draußen kommen, sondern über eine eigene DSL Verbindung.

[scooby 10]

O.k. das sieht dann natürlich wieder anders aus. Dann würde ich da auch 2 Firewalls laufen lassen. Du mußt sicher mehr Ports für die Kunden freischalten als für die User im eigenden Lan. Und wenn du sagst das die User eine Eigende DSL Leitung bekommen würde ich das genauso machen. Weil alle Kunden sind kriminelle (ironisch gemeint aber leider muß man es so betrachten).

Müßtest dann nur das Bild mit der DSL Leitung erweitern. Weil ich kenne Kunden da gehen die user im Lan mit ISDN Verbindungen über diverse Provider ins Internet weil die Leitung die der Kunde hat zu langsam ist. Aber die User haben keine Firewall auf Ihrem PC. Also kann die Firma soviel machen wie sie will. Es bringt nix. Naja. Also unbedingt mit einzeichnen, das an diese Leitung auch gedacht wird.

Mit den Switchen. Kann ich dir leider zu dem HP nicht viel sagen, da ich diese nicht kenne. Ich arbeite hauptsächlich mit Catalyst. Desweitern auch mit Alcatel Switchen.

[Cort 10]

Ich hab die DSL-Verbimdung jetzt mal mit eingetragen.

 

Mit welcher Hardware würdest Du denn das Netzwerk aufbauen?

netzwerkaufbau in 3 segmenten mit dsl.doc

[scooby 10]

Den DSL-Router den würde ich auch über die Firewall laufen lassen. Damit kannst du halt alles sperren was du willst Und das Lan ist geschützt. Ansonsten sieht das für ein Roh Gerüst schon gut aus.

Naja in der Auswahl der Komponeten ist halt die Frage Wieviel Geld hast du für das Projekt. Hinter welche Marke steht das Unternehmen. Ich bin halt ziemlich Cisco geschädigt. Aber es gibt nicht nur eine Pix Firewall es gibt auch Sonic und auch andere Hersteller.

 

Ein anderes Problem welches man betrachten sollte ist auch, wenn mal ein Problem auftritt und du hast eine Komplette infrastruktur von einem Hersteller. So kann er das Problem nicht von sich wegschieben. Andersherum fangen die Hersteller an sich die Schuld gegenseitig in die Schuhe zu schieben. Eine weiter Frage ist wie Zukunftssicher soll das ganze sein. Hinsichtlich Voice over Ip oder Vidioanwendungen. Wenn das eine neuinstallaton ist gleich Voice over IP implentieren oder in 5 Jahren und alles neu machen? Was ist den in 2 oder 3 Jahren gefordert? Jetzt lieber gleich mehr Investieren aber dafür in 3 Jahren einfacher weiter aufrüsten können.

Wenn du jetzt Entscheidungsgewalt hast überlege doch mal wieviel User im Lan sind und so und lade Cisco ein. Die werden dir dann schon Komponeten nennen. Dann machst du das gleich mit HP Alcatel. So dann hast du einen Überblick Desweitern kannst du den gleich deine Idee zeigen deine Ziele und sagen wieviel Kohle du hast auch wenn die darüber nicht gerne sprechen. Die werden dir vielleicht neue gedankenanstöße geben was man alles noch implementieren kann.

[Cort 10]

Als DSL-Router nehm ich einen handelsüblichen NAT-Router, die haben meistens schon einige Firewall fuktionen eingebaut, und ich hab noch ein Port auf der Firewall frei ;)

 

Zur Skalierbarkeit... ich hab anfangs nur 2 höchstens 3 User im Netzwerk und max 100 - 150 Kunden die auf die Dienste zugreifen sollen. VoIP ist eigentlich gar nicht geplant.

 

Ich denke es macht Sinn wie Du sagst alle Netzwerkkomponenten von einem Hersteller zu kaufen.

 

Ich werde mich dann mal mit dem entwurf an verschiedene Händler wenden.

 

Bis hierhin schon mal vielen Dank für deine Hilfe!!!

[HenryNo1 10]

Hi Cort,

 

die zweite FW kannst Du Dir eigentlich schenken.

Wenn Du eine Maschine mit mehreren Interfaces hast, kannst Du alles damit abbilden:

Eth0: Outside

Eth1: Inside

Eth2: DMZ

Mit der entsprechenden Konfiguration kannst Du die Kommunikation zwischen den Interfaces entsprechend einschränken.

 

Hinsichtlich des Modells ist es eher schwierig. Wenn nur 1-3 MA damit arbeiten, würde eine 501 reichen.

Wenn es entsprechend skalierbar sein soll, dann nimm eine 515er.

Der Vorteil: Du kannst noch Interfaces nachrüsten und wenn Du die unrestricted Version nimmst, kannst Du auch Failover nutzen (nur in Verbindung mit einer FO-Pix).

 

Die 501er ist eher die Home-Office-Variante.

 

Hoffe geholfen zu haben

 

CYa HenryNo1

[HenryNo1 10]

Ach ja, fast vergessen....

 

sorry, aber das mit dem DSL-Router ist kompletter Unfug....

damit schaffst Du Dir nur eine Hintertüre um die FW´s zu umgehen.

 

Bilde das Ganze mit einer Firewall und einem Router ab.

Verwende vernünftige Geräte, dann passt das auch.

 

Scheinbar ist es nicht so ne High-Secure Geschichte, dass Du eine zweistufige FW-Lösung brauchst.

 

CYa HenryNo1

[Cort 10]

Aber wie Trenne ich denn dann den Traffic den die User im Netzwerk verursachen von dem restlichen Traffic? Über die E1 Leitung kostet 1 MB immerhin 3 Cent. Mit einer DSL Flat wäre ich da jedenfalls auf der sicheren seite.

 

Das mit der PIX 515 klingt sehr gut! Nur verstehe ich nicht so ganz was du mit "nicht so ne High-Secure Geschichte" meinst.

 

Ist das denn nicht sicher? (sorry, ich kenn mit wie gesagt noch nicht so ganz gut aus in dem Thema)

[HenryNo1 10]

Hi Cort,

 

wenn Du unbedingt eine DSL-Leitung für die User verwenden möchtest, dann nimm halt für die PIX ein Interface mehr.

Du hast dann Outside, Inside, DMZ und z.B. Internet.

 

Dann bist Du wieder beim selben Ergebnis.

 

Es gibts unterschiedliche Konzepte für Firewall-Designs....

ein zweistufiges Design, bei dem 2 unterschiedliche FW´s zum Einsatz kommen, würde ich nur bei wirklich gefährdeten Netzen einsetzen.

 

Wenn´s "nur" um Webserver etc. geht, dann würde ich persönlich nur eine FW einsetzen.

Sinn macht dies aber nur dann, wenn Du 2 unterschiedliche Konzepte der FW verwendest. z.B ne Checkpoint und ne PIX.

 

Sicher ist das Ganze mit einer Firewall natürlich schon, aber eben nicht so sicher wie mit zweien.

 

CYa HenryNo1

[Cort 10]

Alles Klar!

 

Vielen Dank erstmal für deine Hilfe!