Welche Router/Firewalls verwendet ihr zur Netztrennung?

[holzapfel 10]

Hallo zusammen,

 

 

Da in einem Bereich die Netze demnächst wachsen - benötigen wir hier einen Router mit entsprechenden Firewall/Filterfunktionen.

 

Es werden 8-10 Netze darüber geroutet. Der Traffic hält sich in Grenzen - jedoch sollen entsprechende Filterregeln vernünftig erstellt werden können.

 

Welche Produkte könnt ihr für einen solchen Einsatzzweck empfehlen?

Sophos? Lancom? Juniper?

 

Besten Dank

viele Grüße

 

[magheinz 100]

Also wir nutzen Router um Netze zu verbinden und firewall-appliances um sie wieder zu trennen

 

Als Geräte kommen Cisco ASR und Cisco Firepower zum Einsatz. Für ein paar DSL-Anschlüsse haben wir cisco 800er.

 

Du musst etwas näher spezifizieren was die Geräte können sollen. Routing, NAT, paketfilter, applikationsfilterung, malwareerkennung, 100Mbit, 1Gb, 10Gb usw. 

[mwiederkehr 351]

Was verwendet ihr denn für Switche und Firewalls? Ich würde wenn möglich den Router/die Firewall von einem dieser Hersteller einsetzen.

 

Je nach Anforderungen kommen da viele Geräte in Frage, von einem routenden Switch bis zu einer Firewall.

[Nobbyaushb 1.352]

Wir Securepoint - Deusches Produkt, und die Hardware baut Wortmann...

[PadawanDeluXe 75]

vor 1 Stunde schrieb holzapfel:

 

...

Da in einem Bereich die Netze demnächst wachsen - benötigen wir hier einen Router mit entsprechenden Firewall/Filterfunktionen.

 

Es werden 8-10 Netze darüber geroutet. Der Traffic hält sich in Grenzen - jedoch sollen entsprechende Filterregeln vernünftig erstellt werden können.

...

 

Hallo Holzapfel,

welche Firewall-/Filterfunktionen suchst du genau? - wenn es nur ein Routing sein soll mit rudimentären Firewallfunktionen (iptables) ohne Webfilter ect. dann schau dir die Sachen von LANCOM an. Alternativen die weitere Merkmale wie Traffic/Paket Filter ect. haben und dynamisches Firewalling erlauben sind entsprechend teurer. Wie schon genannt: Sophos, Juniper, Cisco ASA ect. Ich habe unter anderem mehrere Linux Firewalls laufen die auf iptables Basis agieren und erweiterte Funktionen haben. Hier wäre OpenSense oder Mikrotik zu nennen. (wobei Mikrotik nicht unbedingt ein reines Firewall OS ist)

 

Ich zitiere hier gern:"Anforderungen definieren" - du hast eine Richtung vorgegeben, allerdings müssten wir das jetzt mal hier konkret machen. Brauchst du nur Firewall oder soll zB noch ein Webfilter mitlaufen?

 

Grüße

Carsten

[lefg 276]

vor 6 Stunden schrieb holzapfel:

Welche Produkte könnt ihr für einen solchen Einsatzzweck empfehlen?

 

Moin

 

Kannst Du Geld in die Hand nehmen oder musst Du sparsam leben? Mache eine Liste der Hersteller, dann suche geeignete Produkte raus, schaue die Eigenschaften an, mache dafür eine Matrix auch mit den Preisen.

 

Wozwischen soll den geroutet werden, zwischen Client-Client-Netzen oder zwischen Client- und Server-Netz? Oder sollen Clients nur ins Internet. Gibt es zumindest einen Entwurf für den Soll-Netzwerkplan mit den Definitionen der Anforderungen?

bearbeitet 23. Oktober 2019 von lefg

[holzapfel 10]

Also dafür kann schon auch Geld in die Hand genommen werden. Wichtiger wäre, dass es vernünftig zu handhaben ist.

Mit PFsense z.b. bin ich mal in Berührung gekommen - aber nicht wirklich gut damit klar gekommen...

 

Es soll vor allem zwischen verschiedenen Client Netzen geroutet werden. Aber auch zwischen 2-3 Servern. Im Endeffekt würde auch einfaches Routing mit einfachen Filterregeln reichen.

Client Netz A -> Client Netz B Zielport 0815

Cleint Netz B -> Server Netz C Zielport 0815

 

Switche werden gemischt von HP und Unifi verwendet. Die Firewall an welcher die Internetleitungen hängen ist eine Sophos.

Durchsatz an den Ports sollte 1GB normal locker reichen. Außer evtl. zu einem Netz vielleicht 10GB

 

Ich glaube, ich starte jetzt aber wirklich mal mit einer entsprechenden Matrix.

Danke auch an euch für die tolle Beteiligung.

 

 

[magheinz 100]

Ich bin kein Freund davon, das Routing der Client-VLANs auf der Firewall direkt am Internet zu machen. Das ist mit zu exponierten. 

Gibt es bei euch eine oder mehrere DMZ? 

[monstermania 53]

vor 3 Stunden schrieb holzapfel:

Also dafür kann schon auch Geld in die Hand genommen werden. Wichtiger wäre, dass es vernünftig zu handhaben ist.

Mit PFsense z.b. bin ich mal in Berührung gekommen - aber nicht wirklich gut damit klar gekommen...

Switche werden gemischt von HP und Unifi verwendet. Die Firewall an welcher die Internetleitungen hängen ist eine Sophos.

Durchsatz an den Ports sollte 1GB normal locker reichen. Außer evtl. zu einem Netz vielleicht 10GB

Na ja, etwas Geld werdet Ihr auch schon in die Hand nehmen müssen. 8-10 Netze á 1 Gbit + 1 Netz mit 10 Gbit ist schon nicht gar so wenig. Da solltet Ihr schon eine entsprechend performante HW einsetzten. Ich würde auf 10 Gbit gehen und die Gbit-Netze per VLAN auf die 10 Gbit-Schnittstellen führen. Und bitte auch an Redundanz denken! 

Grundsätzlich ist eine Sophos ja schon im Einsatz. Die könnte so etwas natürlich auch erledigen, sofern die HW entsprechend ausgestattet ist. 

Ich würde trotz Deiner negativen Erfahrungen in Richtung pfsense/opnsense tendieren. Die Systeme sind (lizenz)kostenlos verfügbar, werden regelmäßig gewartet und bieten darüber hinaus alle Möglichkeiten (u.a. Redundanz per CARP). Evtl. macht es Sinn, sich für die Konzeption/Implementierung einen versierten DL hinzuzuholen.

 

[lefg 276]

vor 5 Stunden schrieb holzapfel:

Also dafür kann schon auch Geld in die Hand genommen werden.

 

Ob das die Gelegenheit ist zu beginnen mit dem Anschaffen von L3-Swiche eines Herstellers, einer Familie?