Jump to content

Zweistufiges Firewall Konzept


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen zusammen,

 

muss mal wieder Euch belästigen. Habe mal eine grundsätzliche Frage zum Thema zweistufiges Firewall Konzept.

 

Werden die Clients bzw. Server im LAN direkt an der internen Firewall angeschlossen oder bleiben die in der Regel am Core Router?

 

Bin gespannt...

 

Falls es der falsche Bereich sein sollte, bitte verschieben. Sorry und danke.

 

Vielen Dank.

 

Grüße

bearbeitet von RolfW
Link zu diesem Kommentar

Hallo,

 

es geht um eine LAN Firewall, die bestimmte Bereiche trennt, bzw. absichert und eine Firewall in der "DMZ" bzw. vor dem Internet. Da nicht viele physikalische Server vorhanden sind, gäbe es durch aus Firewalls, die genügend Ports hätten. Ich persönlich, kenne bisher keine Konzepte dieser Art, hätte aber die Server trotzdem erst mal über den Core Switch (Router) angeschlossen und dann zur Firewall geroutet. Warum? Weil ich sonst an der Firewall alles wieder einstellen und routen muss und dort auch nicht endlos Ports habe. Ob das nun Sicherheitstechnisch korrekt ist, wäre daher die Frage, oder ist das "ghupft wie dupft"?

 

Danach würde ich noch die zweite Frage in die Runde werfen: Falls Ihr interne Firewalls nutzt, wie sichert Ihr virtuelle Server ab? (Physikalische oder virtuelle FWs? Andere Produkte oder techniken?usw.)

 

Grüße

Link zu diesem Kommentar

Was macht eine Firewall IN der DMZ? Gehen wir mal davon aus wir reden hier von einem Filterndem gateway. Dann Trennt dieses Netze. Es müssen also mind. zwei verschiedene Netze an dem Gerät hängen.

Klar kann man auch jeden PC an einen Firewallport hängen. Normalerweise ist das schlicht zu teuer.

 

Was ist eine "interne Firewall"?

 

Interessant wäre mal euer Netzwerkaufbau. Mir ist derzeit unklar wo der Core-Switch und die Firewalls zusammenhängen.

Klassisch wäre:

FW1<->DMZ<->FW2<->interne Netz

Oft verkürzt zu.

 

FW<->DMZ

|

internes Netz

 

Also beides an einer Firewallappliance,

Alles eine Frage der Anforderungen an die Sicherheit.

 

Jeweils am DMZ und an internen Port hängt dann ein Switch.

Link zu diesem Kommentar

Wir bauen eignetlich bei jedem Firewall Interface einen Router dahinter, dann lässt sich die Zone bequem erweitern. Erschwerend hinzu kommt bei einer ASA das eher bescheidene Handling von DHCP forwarding. Hat man mehrere DHCP Server ist das nicht besonders gut gemacht auf der ASA. Hat man einen Router davor, macht der schon den forward als unicast.

 

Ergo, Firewall -  Router (logisch,L3) und in den acls mit möglichst sinnvollen Objekten als Source arbeiten, kommt was dazu, muss man nur die entsprechenden Objekte ändern und fertig

Link zu diesem Kommentar

Was soll den der Router routen was die ASA nicht gleich selber routen kann?

Oder habt ihr da einen Haufen VLANs hinter jedem firewallport?

 

Ja, haben wir. Haufen ist Ansichtssache, aber mehr als eines :) Wenn man dann eien Router hat ist man froh weil man sich besser bewegen kann.

 

Zum Thema an sich, ja, das mehrstufige Design hat schon Sinn, aber nur wenn man auf den Boxen auch untershiedliche Features benötigt, man flexibel sein muss was changes angeht und es gibt natürlich auch das alte (aber nicht von der Hand zu weisende) Rezept: Wenn mir jemand Firewall A hackt, dann ist es unwahrscheinlich das auch Firewall B (da anderer Hersteller) direkt danach fällt. Klar, kaum jemand hackt "die Firewall",aber es könnten ja unterschiedliche Inspections, IPS Features etc darauf laufen.

Zb ganz vorne einen einfachen (aber flotten) Paketfilter, vor den haarigen Geschichten stellt man sich etwas hin das Application Inspection macht, dahinter dann vielleicht noch spezielle reverse proxys usw usf...der alte defense in depth Hut eben

Link zu diesem Kommentar

Moin,

 

das ist ein klassisches Thema, das nicht in ein Forum gehört. Sowas ist Designaufgabe, die von den Anforderungen abhängt.

 

Ob es beispielsweise Sinn ergibt, Teile des "internen" Netzwerks voneinander zu trennen und mit welcher Technik man das macht, ist praktisch ausschließlich eine Frage des IT-Sicherheitskonzepts, das individuell für ein Unternehmen ist - und das aus guten Gründen nicht öffentlich diskutiert gehört.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...