Wie sinnvoll ist eine interne Firewall?

[Paul_Kurz 0]

Guten Tag allerseits,

 

ich beschäftige mich gerade mit dem Thema "interne Firewall" 
im Prinzip ist unser Netzwerk wie folgt aufgebaut:

 

Unsere Layer3 Switche fungieren als Standardgateway für den kompletten internen Netzwerkverkehr.

Wir haben ein Firewall-Cluster das den Verkehr ins WAN regelt. Die Sache die mich beschäftigt ist, ob eine zusätzliche Firewall sinnvoll ist, um den internen Netzwerkverkehr auch regeln zu können.

Dazu hätte ich jetzt eine weitere interne Firewall angeschafft um zumindest das OT Maschinennetz vom anderen Netzwerk zu trennen, eine physische Trennung wäre zu aufwendig.

Wie Sinnvoll ist generell eine interne Firewall um den allgemeinen Netzwerkverkehrt zu regeln. Würdet Ihr euch die Kosten sparen und das Netzwerk anders gestalten? Oder reicht gutes Monitoring aus?
Ich freue mich über ein Feedback von Euch, vielen Dank!
Gruß Paul  
 

[NorbertFe 1.805]

vor 5 Minuten schrieb Paul_Kurz:

Wie Sinnvoll ist generell eine interne Firewall um den allgemeinen Netzwerkverkehrt zu regeln. Würdet Ihr euch die Kosten sparen und das Netzwerk anders gestalten? Oder reicht gutes Monitoring aus?

Das hängt auch von den Anforderungen/Wünschen ab, die ihr erfüllen müsst oder wollt. Wenn das Maschinennetz wie so oft mit schwer zu patchenden Netzwerkteilnehmern bestückt ist, kann eine interne Firewall durchaus sinnvoll sein, da man damit eine vernünftige Segmentierung und Traffic-Steuerung umsetzen kann. Ich würd aber dann auch an der Stelle über redundante Firewalls nachdenken, denn wenn die mal ausfällt ist halt offline. ;) Und wenn du dann schon dabei bist, würd ich auch VLAN 20 und VLAN 40 über die Firewall trennen.

Bye

Norbert

[Paul_Kurz 0]

Hallo Norbert,
genau aus den von Dir genannten Gründen möchten wir hauptsächlich die Firewalls anschaffen, natürlich auch im Cluster :)
Die VLANS sind momentan alle über die Switches geregelt. Ich habe immer das Gefühl, dass wir in Sachen Netzwerksicherheit uns weiterhin verbessern können.

Also würdest Du auch alle anderen Geräte (Clients, Drucker, Storage, Server) VLANs mit über diese Firewall regeln?
Danke für Deine Antwort.
Gruß Paul 

[mwiederkehr 351]

Je nach Anforderungen und Netzwerkverkehr, kann es besser sein, die interne Filterung über die Switches zu machen statt über eine separate Firewall. Zur Filterung des Verkehrs von und nach aussen ist eine Firewall sinnvoll, mit VPN, Content Filter, Reverse Proxy etc.

 

Intern reicht oft ein Paketfilter, mit dem man Sachen wie "VLAN 20 darf auf VLAN 40 zugreifen, aber nicht umgekehrt" oder "von VLAN 20 zu VLAN 40 ist nur DNS offen" umsetzen kann. Layer-3-Switches haben meist Paketfilter integriert. Im Gegensatz zu einer Firewall ist der Durchsatz kein Problem, und wenn man einen Stack hat, ist die Redundanz auch gleich gegeben.

[NorbertFe 1.805]

vor 8 Minuten schrieb mwiederkehr:

terung des Verkehrs von und nach aussen ist eine Firewall sinnvoll, mit VPN, Content Filter, Reverse Proxy etc.

 

Intern reicht oft ein Paketfilter, mit dem man Sachen wie "VLAN 20 darf auf VLAN 40 zugreifen, aber nicht umgekehrt" oder "von VLAN 20 zu VLAN 40 ist nur DNS offen" umsetzen kann. Layer-3-Switches haben meist Paketfilter integriert. Im Gegensatz zu einer Firewall ist der Durchsatz kein Problem, und wenn man einen Stack hat, ist die Redundanz auch gleich gegeben.

 

Ja, aber meist ist eine Firewall hinsichtlich traffic Analyse dann doch "einfacher" zu bedienen. Auch wenn man nur den Paketfilter braucht und nicht den ganzen anderen Kram drumherum. Dafür hat man dann aber bei einer Firewall mögliche Probleme mit asymmetrischem Routing usw. Hat halt alles seine Vor- und Nachteile.

vor 29 Minuten schrieb Paul_Kurz:

Also würdest Du auch alle anderen Geräte (Clients, Drucker, Storage, Server) VLANs mit über diese Firewall regeln?

Klar. Wenn ich sowas hätte, dann schon. Muss man ja nicht alles auf einmal machen, aber perspektivisch, wenn man sich für eine interne Firewall entscheidet, dann natürlich.