schnuffi79 11 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Hallo zusammen, habe eben mit einen Kollegen zusammen Diskutiert ob es der Sicherheit gut tut wenn man das Intranet vom Internet durch einen anderen IP Bereich trennt. Zum Beispiel das Internet Netz ist im IP Bereich 192.168.2.x hier sind alle Clients sowie File, DC und DB - Server. Im zweiten Segment das man mit 192.168.100.x nimmt hier befindet sich dann die Verbindung zum Internet diese wird mittels einer FritzBOX hergestellt. Natürlich müssen dann in die FW z.B. Astaro, Endia usw. zwei Netzwerkkarten eingebaut werden die sich auch in diesen beiden Bereichen befinden. Macht dieses Konfig sinn im sinne der Sicherheit od. kann man es auch in einen Segment belassen!? Ich weiß nicht ob ich jetzt richtig liege wenn es Falsch sein sollte bitte berichtigt mich. Eine Trennung der einzelnen Netze erhalte ich doch nur mittels VLANS über den Switch!? Ich bin mir nicht sicher glaube aber da mal sowas gelesen zu haben. Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Ohne jetzt Details zu kennen: Würde nicht sagen, dass es viel Sinn macht. Wenn Dir die FW in der Fritzbox noch nicht reicht, kannst Du ja noch eine Firewall zwischen dem Switch und der Fritzbox hängen. Die arbeiten normalerweise transparent. Wichtiger dürfte eher ein Content-Filter sein, der verhindert, dass Malware in den Netz kommt, z.B. beim Surfen oder in Mails. Da hilft eine einfache Firewall und das Trennen irgendwelcher Netze nicht. Schau Dir z.B. mal den ISA-Server von MS an. Der sollte für Euer Netz ausreichende Sicherungsmöglichkeiten bieten. -Zahni Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 27. März 2008 Autor Melden Teilen Geschrieben 27. März 2008 Hallo Zahni, danke erst mal für die schnelle Antwort. Hm so ähnliche habe ich es mir auch schon gedacht die FW der FritzBOX finde ich recht gut und ist für meine Begriffe auch ausreichend. Wenn es in die IT Landschaft passt, das mit dem Contentfilter beim ISA - Server ist so eine Sache habe mich dahingehend schon mal schlau gemacht und leider nichts passendes oder vernünftiges gefunden. Hier war ich persönlich mit dem Contentfilter der Astaro Community FW sehr zufrieden auch mit dem der Endian. Ebenso mit der Möglichkeit das man HTTP sowie FTP nach Virenscannen kann. Kenne jetzt den ISA 2006 nicht aber beim 2004er habe ich diese möglichkeit meines Wissens nach nicht. Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Üblicherweise ist mit einer Firewall oft nur ein Paketfilter gemeint. Da kann man so viele hintereinander schalten wie man will, man wird keinen Mehrwert an Sicherheit erhalten. Besser wirds allerdings wenn ich eine Intrusion Prevention einsetze. URL Filter sind auch manchmal ein Thema, wenn ich nur ein Verzeichnis meines Webservers veröffentlichen will. Nur so als Beispiele Du vergleichst hier Astaro und den ISA Server. Ich kenne auch beide recht gut (siehst du ja an meiner Signatur). Der ISA ist halt eine reine Firewall mit umfangreicher Proxy Funktion. Die Astaro hingegen ist eine UTM Lösung, die Viren, Spam, Webaufrufe usw. filtert. Für all diese Funktionen brauche ich am ISA Zusatzsoftware. Eventuell wird dich auch dieser Beitrag interessieren: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de LG Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 28. März 2008 Autor Melden Teilen Geschrieben 28. März 2008 @firefox80 ich wollte hier nun natürlich keinen Vergleich zwischen beiden System ziehen. Dieses kann man denke ich mal gar nicht tun weil die Konzepte die dahinter stecken unterschiedlicher nicht sein könnten. Wenn ich jetzt z.B. einen ISA aufsetzen würde habe ich nur eine Firewall ohne URL - Filter, Viren sowie Spam Filter. Dieses wiederrum habe ich beim Einsatz der Astaro wenn ich hier zu die 10IP Variante greife ist diese nach Licensierung bis 2011 gültig. Würde ich einen ISA aufsetzen so brauche ich eine Windows 2003 od. 2008 Server Licens, dann den ISA ansich sowie die Zusatzsoftware die auch nochmal mit sicherlich nicht Wenigen Kosten zu Buche schlägt. Wenn ich dieses zusammen Rechne am Ende kann ich hierfür sicherlich auch die kleine Astaro FW zulegen und ins Netz hängen. Oder wenn die Variante mit den 10IPs reicht diese laufen lassen. ´ Das eine hinter einander Schaltung mehrer FWs nicht viel bringt ist mir klar. Wenn mehrer FWs dann lieber so ein Scenario wo man z.B. Personal Abteilung von der Produktion durch eine FW trennt. Damit die Persönlichen Daten die in einer Personal Abteilung auflaufen auch Persönlich bleiben. Ich habe mich jetzt hoffentlich Verständlich ausgedrückt!? Und du weißt worauf ich hinaus wollte. Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Soweit stimme ich dir zu, aber ganz habe ich noch nicht raus, was jetzt eigentlich die Frage ist :D Du weißt aber schon, dass die kostenlose 10 User Astaro Lizenz nicht im Firmenumfeld eingesetzt werden darf? (Die 10 user Software Variante kostet für Firmen 345€ + Wartung+Subscription) LG Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Der ISA 2006 kann schon ein wenig mehr: Microsoft ISA Server: Features z.B. auch eine HTTP Content-Filter. Von div. Herstellern gibt es auch Virenscanner die sich andocken lassen, welche dann den Content auf Viren untersuchen... -Zahni Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 28. März 2008 Autor Melden Teilen Geschrieben 28. März 2008 @firefox Sinn meiner Frage war eigentlich. Ob es sinnvol ist wenn man das Interne Netz "Intranet" eine Sperate IP Adresse verpasst und dem Internet bzw. externen Netz eine IP Adresse verpasst. Dieses dann natürlich mit zwei Netzwerkkarten im Rechner der die FW zur Verfügung stellt. Wenn die Astaro FW im Firmenumfeld eingesetzt wird so wird auch eine Offiziele Version gekauft da man dann ja auch Support erhält. Denn man wenn ich es Richtig auf der Seite gelesen habe bei der Community Version nicht hat. @zahni natürlich will ich nicht den ISA Server schlecht machen in keinster Weise weil jedes Produkt hat einfach seine Berechtigung und wird auch in der passenden IT - Landschaft zum Einsatz kommen. Hat einer von euch schon mal was von dieser FW gehört: gate Protect Firewall Server wenn ja wie sind seine Erfahrungen damit? Hier mal der Link zur Software: gateProtect UTM Firewall Server and appliances Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Hat einer von euch schon mal was von dieser FW gehört: gate Protect Firewall Server wenn ja wie sind seine Erfahrungen damit? Hier mal der Link zur Software: gateProtect UTM Firewall Server and appliances Hallo, bei einem meiner vorherigen Arbeitgeber haben wir mal ein paar davon verkauft. Ist aber etwas über zwei Jahre her. Probleme gab es damit nicht, aber mit den Möglichkeiten einer Astaro oder einem ISA konnte die Gateprotect nicht mithalten. Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 29. März 2008 Autor Melden Teilen Geschrieben 29. März 2008 Der ISA 2006 kann schon ein wenig mehr: Microsoft ISA Server: Features z.B. auch eine HTTP Content-Filter. Von div. Herstellern gibt es auch Virenscanner die sich andocken lassen, welche dann den Content auf Viren untersuchen... -Zahni @Zahni kannst du mir bitte mal ein paar Hersteller von ContentFilter sowie Virenscanner für den ISA nennen. Das ich mich mal darüber belesen kann. Danke Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Schau mal her http://www.microsoft.com/isaserver/partners/contentsecurity.mspx -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.