|
Firewall - was muß man beachten/was muß sie können?
hi!
es ist soweit - wir bekommen eine firewall (was eigentlich schon lange notwendig wäre...) jetzt sollte hier nicht allzuviel falsch gemacht werden - daher werden wir uns auch extern beraten lassen. allerdings fehlen einfach die tieferen vorkenntnisse - und man will sich ja nicht irgendwas verkaufen lassen was sich dann letztendlich als schwach herausstellt. daher meine frage: WAS MUSS MAN BEACHTEN und WAS SOLL EINE GUTE FIREWALL ALLES KÖNNEN? danke für eure hilfe lg andi |
kommt drauf an welche lösung ihr haben wollt. fertige hw fw oder zb standard pc mit linux und fw software.
wofür wird die fw benötigt? nur fürs surfen? dmz für mail und webserver? vpn oder sonstige ferzugriffe von außen? welche bandbreite? wieviele user? |
Re: Firewall - was muß man beachten/was muß sie können?
Zitat:
ich würd mal sagen, ihr machts euch einen plan, was alles über die firewall gehen MUSS, was weniger dringend is und was auf keinen fall durch gehn soll... |
dmz wird benötigt - für mailserver und später auch webserver.
wichtig ist auch einschränkung der benutzer was www betrifft - wird bei uns restriktiv gehandhabt. vpn wird auch benötigt. linux ist sicher ein heißer tip. was sind aber grundlegende dinge die man da beachten muß? lg andi |
wieviele user? danach richten sich zb linzenzkosten.
|
Fein sind fertige Lösungen (Hardwarefirewalls).
Guter Support schnelle Updates und man kann kleine Änderungen vielleicht selbst machen ohne teuren Sysadmin. Lösungen die gestrickt werden (Linux-Iptables) sind auch gut, aber so ein Server gehört regelmässig kontrolliert und gewartet. Änderungen sind ohne Expertenkenntnisse nicht leicht durchzuführen. Wenn ihr Intern keine Spezialisten habt, würde ich eine fertige Hardwarelösung empfehlen. Vielleicht im ersten Moment etwas teurer, aber im Betrieb unproblematisch. IMHO würde ich von Softearelösungen die Finger lassen. Der Server muß erst recht administriert werden und es sind zu viele Bugs bekannt. Sloter |
Linux FW auf CD wurde sogar im Sommer 2001 im WCM Heft vorgestellt.
Wäre eine interessante Möglichkeit für Firmen, allerdings im M.nur SUSE Linux |
so ne fw cd gibts auch mit freebsd, ist aber sicher nicht so einfach zu warten.
|
Von Suse die Firewall ist super, leider wird IPTables verwendet.
läßt sich aber leicht Administrieren und kosfigurieren. Geht aber nicht für ADSL aus Österreich. Sloter |
Auch HW Lösungen haben SW an Board und basieren meistens auf einem *nix Sys.Also würd ich mich auf HW nicht verlassen.
Wenn man eine Benutzerauthetifizierung braucht und mit W2K arbeitet, dann kann man zum ISA Server von MS greifen. Hab damit keine Probleme und wenn man weiß wie man W2K konfig. und den ISA dann dazu einsetzt, sollte es mal keine Probleme geben. Info dazu gibts z.B.: auf http://www.isaserver.org keine MS Seite aber der erste Anlaufpunkt bei Probs und Lösungsvorschlägen. Gruß |
Sehr empfehlenswert sind die zyxel zywalls, die sind günstig, leicht zu bedienen und zuverlässig. Wennst den zugriff auf benutzerebene steuern willst und du eine windows domäne hast, ist wahrscheinlich der MS ISA server die einfachste lösung wenn auch manchmal etwas eigenartig in der bedienung ;)
|
wir haben in der firma seit neuesten eine suse 7.3 system als firewall mit virusschutz. weil der nt server immer lahmgelegt war.
funkt wunderbar, wurde auf einen alten rechner aufgesetz. auch zugriffe von aussen sind geschützt möglich.als webserver wurde die maschine auch schon vorbereitet(aber derzeit ohne verwendung). das ganze über adsl gruß platin |
@hot.peppers
Irgendiwe logisch das bei einer Hardwarefirewall auch eine Software mitspielen muß. Der Server von MS soll sicherer sein als eine Firewall für ein Netzwerk? :lol: @platin Klar kann man mit LInux eine eigene Lösung schnitzen, aber der administrative Aufwand ist sehr hoch und der Admin muß schon recht gut sein. Nur Installieren und ein Script für die Firewall reinspielen ist nicht das Problem sondern der ganze Müll der mitgenommen wird wenn die normale Suse Version eingesetzt wird. Sloter |
@ sloter da hast auch recht. wie siehts mit der firewall on cd aus?
|
So wie die von Suse oder :bier:
Sloter |
Oder Mandrake Single Network Firewall. Extrem leicht zu konfigurieren(Übers Netzwerk mittels Webbrowser) aber vermutlich keine Firmenlösung, oder?
Zumindest kann sie alles was du verlangst. |
Sys Beschreibung
Ich könnte die Lösung anbieten
Mein Eingang behütet und verteilt sicher und zuverlässig ein U.S. Robotics Broadband Router (Model # USR8000, Version V1.27) Er bietet folgende Vorteile http://www.usr-emea.com/products/p-n...-rout&loc=grmy und das um ca.180€ Des weiteren besitzt jeder Client die Software Firewall @Guard3.22 http://www.kfa-juelich.de/zam/docs/t...349/t0349.html Mit dieser Zusammenstellung und relativ wenig Einarbeitungszeit bekommt man ein Hochsicherungsnetzwerk in den man alles Kontrollieren und abschotten kann. Ich traue mir sogar zu sagen, das dieses Netzwerk einen firmenmäßigen Sicherheitsscheck durchhält. |
Nachtrag
Diesen Router bekommt man auch bei anderen Hersteller
Mir ist der SMC-Router aufgefallen http://www.netzwerkrouter.de/Router/.../smc_tipps.htm Er bietet mehr Kontrolle über die Firewall und die Firma bietet mehr Produkt-unterstützung und das in Deutsch! Zu diesen Netzwerk paßt natürlich nur WinXPprof. Meiner Meinung nach ein gelungenes Produkt in der MS-Welt. Wer Unterstützung braucht postme! Übernehme Netzwerke bis 1000 Anschlüsse |
@mogli
was dieser router kann is allseits bekannt, ich glaub aber nicht, dass dieses konstrukt die bedürfnisse einer firma abdecken kann, dazu bietet es einfach zuwenig möglichkeiten an der firewall wie es sie zb auf einer linuxfirewall (no besser OpenBSD) gibt ... und ich bezweifle sehr stark, dass die @guard SWFW so gut is, i halt persnöich nix von software firewalls, die bringen nix ausser dass sich der user sicher fühlt obwohl ers ned wirklich is... und wozu verwendest du hinter dem router im lan noch firewalls? find ich eher kontraproduktiv. ordnetliche firewall am "eingang" und dann kannst es lassen. musst halt die firewall so konfig'n dass da niemand was umstellen, umgehen (naja, kann man nie ausschliessen), umkonfiguriern kann (ausgenommen dazu authoirisertes personal :D) |
Antwort
Der Router ist für 254 Clients und für eine Firma dieser größen Ordnung voll ausreichend.
In Punkt Linux gebe ich dir recht, aber! wieviele Linuxaner gibt es unter Unternehmer die meistens mit der Windowswelt in berühung kommen Linux ist zwar momentan sicherer aber wenn nur Anwenderkenntnisse bei Linux vorhanden sind wurde ich mich nicht über eine Linuxfirewall trübertrauen. Das kann schwer ins Auge gehen. Deine Frage wieso Interne Firewall wundert mich. Die meiste Gefahr geht von Innen aus, das ist allgemein erwiesen. Ein schöner Nebeneffekt- Ich kann auch die Installierte Software konntrollieren, du würdest dich wundern was da alles raus will. mogli |
hab den usr selber, und das er reichen würd, zumindest von der anzahl clients, ok....
dass die grösste gefahr von innen kommt, stimmt schon, dass weiss ich auch. wenn der user keine rechte auf seinem system hat, kann er auch wenig machen und die firewall ins internet nichts nach aussen lässt, was nicht explizit freigeschalten wurde is die software firewall ein programm mehr auf dem rechner das eigentlich ned braucht wird.... aus dem grund bringts meiner meinung nach nix, lokal firewalls zu isntallieren, sofern die firewall ins internet restriktiv genug aufgebaut ist... damit mein ich, alles was nicht surfen (http,secure http), passives FTP oder (falls mails abholen von ausserhalb nötig is) POP3/SMTP ist, wird geDROPt :hehe: und da lohnt es sich noch einen http proxy aufzustellen und auf der firewall direkte verbindungen ins inet überhaupt zu unterbinden, dann können alle filesharing programme und jeder sonstige blödsinn nicht ins inet connecten und sind somit erledigt.... ich weiss dass man das (in eingeschränktem umfang) umgehen kann, allerdings is das ein aufwand, der sich (fast) ned lohnt... und i weiss was da alles ins inet raus will, i brauch in der arbeit nur in die firewall logs schaun was da alles gedropt wird und wenn man ein bissl im netz snifft dann findet man auch so einiges.... |
re
proxy POP3/SMTP ist eine gute zusätzliche Funktion, man kann ja ein Gerät dafür abstellen
Was ich an meinen System so liebe ist die leichte Bedienung,geringe Kosten,und erweiterbarkeit und es bleibt Zeit fürs Arbeiten, Der Router läßt die nervigen Pingér und Sciptkidis draußen Bei @Guard3.22 kann ich dir versichern dein Prozessor merkt das Proggie nicht einmal. Aber vergiss das Nachfolge Model NortonFirewall2002 leider ist das ursprüngliche Programmierer Team in der Versenkung (Wahrscheinlich genießen die das Money---verdient) Und zu guter letzt das nonplusultra wäre eine Sandbox für´n Browser ich habe aber noch keine gefunden. Weil bei dem Sicherheitsloch IE hilft dir eine Firewall wenig. leider! mogli |
jaja, schon klar dass bei so einer kleinen firma die leichte bedienbarkeit ein grosser faktor is, aber für eine grosse firma is das dann schon zu wenig....
aber dafür gibts dann andere sachen wie zB cisco PIX firewall oder die checkpoint (die imho a schas is, aber ganz wirkungsvoll wenn mans verstanden hat mit den beschräkungen (angepriesene features die ned so funktioniern wie sie sollten :() zu leben und diese zu umgehen (in der configuration) :D) schon ein einfacher cisco router hält die scriptkiddies und pinger draussen und du kannst mehr machen als mit einem usr8000, man muss nur wissen wie man das ding config'd.... (und da liegt wohl der hund begraben :D) |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 20:41 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag