Jump to content

Das MCSEboard.de hatte am 19.07.18 Netzwerk-Probleme, die inzwischen behoben wurden. Wir bitten um Verständnis.

Melde dich an, um diesen Inhalt zu abonnieren  
RolfW

Zweistufiges Firewall Konzept

Empfohlene Beiträge

Guten Morgen zusammen,

 

muss mal wieder Euch belästigen. Habe mal eine grundsätzliche Frage zum Thema zweistufiges Firewall Konzept.

 

Werden die Clients bzw. Server im LAN direkt an der internen Firewall angeschlossen oder bleiben die in der Regel am Core Router?

 

Bin gespannt...

 

Falls es der falsche Bereich sein sollte, bitte verschieben. Sorry und danke.

 

Vielen Dank.

 

Grüße

bearbeitet von RolfW

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

die zweistufige Firewall ist doch hier eher irrelevant. Oder sprichst du von der DMZ "zwischen" den beiden Firewalls?

Generell würde ich Server immer mit einem Switch verbinden.

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

immer am Switch HINTER der entsprechenden firewall. Welche Firewallappluance hätte denn überhaupt genügend Ports? Ein router ist aber definitv der falsche ort, normalerweise.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

es geht um eine LAN Firewall, die bestimmte Bereiche trennt, bzw. absichert und eine Firewall in der "DMZ" bzw. vor dem Internet. Da nicht viele physikalische Server vorhanden sind, gäbe es durch aus Firewalls, die genügend Ports hätten. Ich persönlich, kenne bisher keine Konzepte dieser Art, hätte aber die Server trotzdem erst mal über den Core Switch (Router) angeschlossen und dann zur Firewall geroutet. Warum? Weil ich sonst an der Firewall alles wieder einstellen und routen muss und dort auch nicht endlos Ports habe. Ob das nun Sicherheitstechnisch korrekt ist, wäre daher die Frage, oder ist das "ghupft wie dupft"?

 

Danach würde ich noch die zweite Frage in die Runde werfen: Falls Ihr interne Firewalls nutzt, wie sichert Ihr virtuelle Server ab? (Physikalische oder virtuelle FWs? Andere Produkte oder techniken?usw.)

 

Grüße

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was macht eine Firewall IN der DMZ? Gehen wir mal davon aus wir reden hier von einem Filterndem gateway. Dann Trennt dieses Netze. Es müssen also mind. zwei verschiedene Netze an dem Gerät hängen.

Klar kann man auch jeden PC an einen Firewallport hängen. Normalerweise ist das schlicht zu teuer.

 

Was ist eine "interne Firewall"?

 

Interessant wäre mal euer Netzwerkaufbau. Mir ist derzeit unklar wo der Core-Switch und die Firewalls zusammenhängen.

Klassisch wäre:

FW1<->DMZ<->FW2<->interne Netz

Oft verkürzt zu.

 

FW<->DMZ

|

internes Netz

 

Also beides an einer Firewallappliance,

Alles eine Frage der Anforderungen an die Sicherheit.

 

Jeweils am DMZ und an internen Port hängt dann ein Switch.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wir bauen eignetlich bei jedem Firewall Interface einen Router dahinter, dann lässt sich die Zone bequem erweitern. Erschwerend hinzu kommt bei einer ASA das eher bescheidene Handling von DHCP forwarding. Hat man mehrere DHCP Server ist das nicht besonders gut gemacht auf der ASA. Hat man einen Router davor, macht der schon den forward als unicast.

 

Ergo, Firewall -  Router (logisch,L3) und in den acls mit möglichst sinnvollen Objekten als Source arbeiten, kommt was dazu, muss man nur die entsprechenden Objekte ändern und fertig

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo zusammen,

 

bei diesem Konzept geht es erst mal nicht um einen Hersteller oder Details, sondern nur um das grobe Konzept, oder wie Ihr das in der Praxis umsetzt.

 

Grüße

bearbeitet von RolfW

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was soll den der Router routen was die ASA nicht gleich selber routen kann?

Oder habt ihr da einen Haufen VLANs hinter jedem firewallport?

 

Ja, haben wir. Haufen ist Ansichtssache, aber mehr als eines :) Wenn man dann eien Router hat ist man froh weil man sich besser bewegen kann.

 

Zum Thema an sich, ja, das mehrstufige Design hat schon Sinn, aber nur wenn man auf den Boxen auch untershiedliche Features benötigt, man flexibel sein muss was changes angeht und es gibt natürlich auch das alte (aber nicht von der Hand zu weisende) Rezept: Wenn mir jemand Firewall A hackt, dann ist es unwahrscheinlich das auch Firewall B (da anderer Hersteller) direkt danach fällt. Klar, kaum jemand hackt "die Firewall",aber es könnten ja unterschiedliche Inspections, IPS Features etc darauf laufen.

Zb ganz vorne einen einfachen (aber flotten) Paketfilter, vor den haarigen Geschichten stellt man sich etwas hin das Application Inspection macht, dahinter dann vielleicht noch spezielle reverse proxys usw usf...der alte defense in depth Hut eben

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

das ist ein klassisches Thema, das nicht in ein Forum gehört. Sowas ist Designaufgabe, die von den Anforderungen abhängt.

 

Ob es beispielsweise Sinn ergibt, Teile des "internen" Netzwerks voneinander zu trennen und mit welcher Technik man das macht, ist praktisch ausschließlich eine Frage des IT-Sicherheitskonzepts, das individuell für ein Unternehmen ist - und das aus guten Gründen nicht öffentlich diskutiert gehört.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Möchte ich auch gar nicht näher besprechen. Mir ging es nur, ob man eine interne Firewall generell zwischen Server und Core setzt oder eher nach dem Core. Oder ist beides in der Praxis zu finden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×