Jump to content

Welche Firewall ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

ohne jetzt auf die wichtigen fragen wie finanz. rahmen usw. eingehen zu wollen, wir verwenden die watchguard im headquarter und in 2 niederlassungen. in einer anderen eine cisco asa 5525.

 

die watchguards kann ich nur empfehlen, feines handling, gute features, preis ist imho auch ok...

 

wie gesagt, zu einer empfehlung bräuchte es noch mehr infos.

 

gutes nächtle noch

 

mfg

hannes

Link to comment

Hi,

 

also zuerst mal solltet ihr euch, falls noch nicht geschehen, überlegen wie euer Firewallkomplex aussehen soll und was dieser alles leisten muß. Verschiedene Szenarien findest du z. B. hier:

 

Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de

 

Empfehlungen gibts auf Startseite Bundesamt für Sicherheit in der Informationstechnik

 

Danach geht es an die Auswahl der Produkte. Ich persöhnlich würde (Microsoft möge mir verzeihen) würde mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. Eine Firewall auf der noch so viel anderes läuft gehört da meiner Meinung nicht hin. Für die interne Firewall (hin zur DMZ und zum CN) ist die ISA FW aber ein geniales Produkt, da man hier diverse Einstellungen z. B. mit Hilfe von AD Gruppen regeln kann.

 

Ich habe in letzter Zeit etwas mit Astaro Firewalls (Astaro Internet Security - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam.) "gespielt" und muß zugeben, dass diese bei sehr einfacher Handhabung und genialem Leistungsumfang (Stichwort: SMTP-, Web-, FTP-Proxy, Mailbenachrichtungen...) einen sehr guten Eindruck hinterlassen haben.

 

Gruß

Link to comment

Hi All,

 

Danke für eure Antworten....

 

kurz info..

 

 

wir haben folgende Szenario:

 

IST-Zustand

Internet-->Router-->Firewall (Linux) hinter der Firewall sind unsere Clients und Servers.

auf der Firewall ist VPN, Mail-Relay, spamassassin und Spamfilter.

 

wir wollen jetzt einen DMZ einrichten so das die Servers in der DMZ steht.

 

Astaro Firewalls hört sich gut an

 

 

ist das ok?

 

Astaro Firewall --> ISA Server (DMZ) Servers --> Interne Clients ?

 

 

MFG

MJG

Link to comment

Danach geht es an die Auswahl der Produkte. Ich persöhnlich würde (Microsoft möge mir verzeihen) würde mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. Eine Firewall auf der noch so viel anderes läuft gehört da meiner Meinung nicht hin. Für die interne Firewall (hin zur DMZ und zum CN) ist die ISA FW aber ein geniales Produkt, da man hier diverse Einstellungen z. B. mit Hilfe von AD Gruppen regeln kann.

naja als frontfirewall würd ich se auch nicht unbedingt direkt ins ad einbinden aber ansonsten wieso nicht vorne hin? windows lässt sich ja schon härten und es gibt inzwischen ja auch appliances die das quasi "out of the box" liefern (forefront)...

Link to comment
naja als frontfirewall würd ich se auch nicht unbedingt direkt ins ad einbinden aber ansonsten wieso nicht vorne hin? windows lässt sich ja schon härten und es gibt inzwischen ja auch appliances die das quasi "out of the box" liefern (forefront)...

 

Nur weil es ein Produkt dazu gibt, heißt das noch lange nicht, dass es auch gut bzw. sicher ist. Allerdings muß man dazu sagen, dass ich Auditor im Finanzsektor bin und daher mit etwas anderen Maßstäben messe. Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben...

 

just my 2 cents

Link to comment
Nur weil es ein Produkt dazu gibt, heißt das noch lange nicht, dass es auch gut bzw. sicher ist. Allerdings muß man dazu sagen, dass ich Auditor im Finanzsektor bin und daher mit etwas anderen Maßstäben messe. Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben...

 

just my 2 cents

ich mach diese aussage sicher nicht von der reinen existenz des produkts abhängig aber wenn man bedenkt wieviel sicherheitslücken die ms sicherheitslösungen im enterprise berreich bisher aufwiesen und wie andere produkte dagegen dastehen, kann ich nicht behaupten dass ein ms produkt da schlechter dasteht...

 

just meine ;)

Link to comment
Ich persöhnlich würde ... mich hüten einen ISA zwischen das I-net und meinem CN / DMZ zu stellen. ...
...Auf externe Firewalls gehören meiner Meinung nach nur Dinge, die da unbedingt sein müssen. Jeder Service und jeder account der zu viel ist stellt ein potentielles Sicherheitsrisiko dar. Wenn ein vollständiges Windows (gehärtet oder nicht) unter iener Firewall läuft dann bietet diese meiner Mienung nach einfach viel zu viele potentielle Angriffspunkte - und genau das sollte ein FW nicht haben...

 

Ich habe in letzter Zeit etwas mit Astaro Firewalls ... "gespielt" und muß zugeben, dass diese bei sehr einfacher Handhabung und genialem Leistungsumfang (Stichwort: SMTP-, Web-, FTP-Proxy, Mailbenachrichtungen...) einen sehr guten Eindruck hinterlassen haben.

 

Hallo Johannes,

 

ich hab durchaus Sympathien für Deine Ansichten hinsichtlich des ISA-Servers bzw. zum zu Grunde liegenden OS. Je weniger Zeilen Code, desto weniger Fehler können drin sein. Mit steigender Komplexität eines Produktes steigt die Wahrscheinlichkeit, dass Entwickler und/oder Admin Fehler machen.

Umso mehr amüsiert und verwundert es mich, dass Du gleich im Anschluss die Astaro lobpreist. Sie ist unzweifelhaft gut gemacht, jedoch ein klarer Verstoß gegen den vorgenannten Grundsatz! Hauptsache viele Features aus verschiedenen Quellen in einer Box zusammengefrickelt.... :rolleyes:

Ich sehe den Trend zu All-In-One UTM-Boxen - so charmant sie auf den ersten Blick auch sein mögen - jedenfalls sehr kritisch! Wie oft hat man beispielsweise schon lesen müssen, dass Antivirus-/Antispam-Gateways durch entsprechend präparierte Mails attackiert werden konnten (Symantec, F-Secure, Trend Micro...)? Jede (Sicherheits-)Lösung schafft halt neue (Sicherheits-)Probleme - das ist normal. Ist es nicht allein deshalb schon sinnvoller, Teilaufgaben auf spezialisierte Systeme aufzuteilen, damit die Kompromittierung eines Teilsystems nicht sofort zum Flächenbrand wird? Ich plädiere jedenfalls sehr dafür, die "klassische" Firewallfunktionaliät bis Layer 4 von den Application-Level-Gateways und sonstigen auf höheren Schichten arbeitenden Diensten zu trennen.

 

Gruß

Steffen

Link to comment

Es kommt hier halt auf die zu Schützende Umgebung an - da musst du unterscheiden.

Wenn man wie Johannes im Bankenumfeld arbeitet macht dieser Weg sicher Sinn.

 

Um einen einzelnen SBS-Server zu schützen, finde ich eine Gallerie von Firewalls aber überdimensioniert.

 

Nicht umsonst bietet Trendmicro kombinierte Appliances für SMB und aufgeteilte einzelne Appliances für Großfirmen an. Nur so als Beispiel...

 

LG

Link to comment
Hallo Johannes,

 

ich hab durchaus Sympathien für Deine Ansichten hinsichtlich des ISA-Servers bzw. zum zu Grunde liegenden OS. Je weniger Zeilen Code, desto weniger Fehler können drin sein. Mit steigender Komplexität eines Produktes steigt die Wahrscheinlichkeit, dass Entwickler und/oder Admin Fehler machen.

Umso mehr amüsiert und verwundert es mich, dass Du gleich im Anschluss die Astaro lobpreist. Sie ist unzweifelhaft gut gemacht, jedoch ein klarer Verstoß gegen den vorgenannten Grundsatz! Hauptsache viele Features aus verschiedenen Quellen in einer Box zusammengefrickelt.... :rolleyes:

Es kommt immer auf das Einsatzgebiet an. In einem richtigen großen high secure Environment würde ich nie und nimmer auf die Idee kommen einen SPAM Filter oder MailProxy (etc) direkt auf der äußeren FW zu betreiben. Für kleine Netze kann das jedoch durchaus Sinnvoll sein.

Unabhängig davon kann ein Dienst wie ein MailProxy zu den Diensten gehören, die da unbedingt sein müssen :wink2: Ein Window Manager z. B. gehört da aber nicht hin...

 

Ich sehe den Trend zu All-In-One UTM-Boxen - so charmant sie auf den ersten Blick auch sein mögen - jedenfalls sehr kritisch! Wie oft hat man beispielsweise schon lesen müssen, dass Antivirus-/Antispam-Gateways durch entsprechend präparierte Mails attackiert werden konnten (Symantec, F-Secure, Trend Micro...)? Jede (Sicherheits-)Lösung schafft halt neue (Sicherheits-)Probleme - das ist normal. Ist es nicht allein deshalb schon sinnvoller, Teilaufgaben auf spezialisierte Systeme aufzuteilen, damit die Kompromittierung eines Teilsystems nicht sofort zum Flächenbrand wird? Ich plädiere jedenfalls sehr dafür, die "klassische" Firewallfunktionaliät bis Layer 4 von den Application-Level-Gateways und sonstigen auf höheren Schichten arbeitenden Diensten zu trennen.

 

Gruß

Steffen

 

Wie gesagt es kommt auf den Einsatz und das Schutzbedürfnis an. In meinem privaten Netz zuhause setze ich z. B. eine normale Firewall box ein um das I-Net von meiner DMZ zu trennen. In der DMZ stehen dann die Mail-, Web- und Proxyserver und die Verbindung von DMZ zu lan wird durch eine astaro gesichert. Für mich privat reicht das (finde ich). In meinem Arbeitsumfeld sieht das ganz anderst aus :)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...