white-horse 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Hallo Zusammen, wir haben derzeit leider immer häufiger mit Viren-, Wurmproblemen zu kämpfen. Deswegen ist das Thema Sicherheit bei uns gerade am kommen. Wir haben verschiedene Server laufen. Diese sind nicht durch eine Firewall von den Clients getrennt. Nun sind wir gerade am überlegen ob wir das ändern. Ich poste mal die grobe Serverübersicht: - W2k Citrix Terminal Server - W2k Adv. SQL Datenbankserver - W2k DomainController - Novell Fileserver - Linux Webserver - Linux Fileserver Angenommen wir trennen unsere Server durch eine Hardwarefirewall mit den Clients. Wie wirkt sich das aus? Insbesonderen auch auf die Geschwindigkeit? Welche Firewalls wäre eine solide Lösung zu einen verträglichen Preis? Danke Euch Gruß Patrick Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Hey Patrick, also für nen großen Standort würd ich ne Checkpoint FW (DMZ)empfehlen, da haste auch die dementsprechenden analyse Möglichkeiten. Ist nur ziemlich teuer! Für nen kleineren Standort würd ich vielleicht ne Cisco PIX 501 empfehlen, kosten so ca. um die 800-1000€! Relativ leicht zu konfigurieren mit PDM (Web-basierendes Frontend) oder console! Gruss Z. :suspect: Zitieren Link zu diesem Kommentar
white-horse 10 Geschrieben 5. April 2004 Autor Melden Teilen Geschrieben 5. April 2004 Danke schon mal. Wie schauts mit der Performance aus. Geht die nicht ziemlich in die Knie wenn sich der ganze Trasfer zwischen Clients und Server durch die Firewall zwängt? Gruß Patrick Zitieren Link zu diesem Kommentar
Zion 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Die Cisco 501er PIX würde ich nicht für mehr als 15 Leute verwenden. Bei den Vorgaben die du gegeben hast, kommts natürlich auch drauf an wieviel Traffic so über dein Netz geht. Mal vielleicht nen Sniffer reinhängen oder Switch Port Auslastung Checken. Bei der Checkpoint kommts natürlich auf den Rechner an je mehr Performance desto mehr Clients/Server. :D Zitieren Link zu diesem Kommentar
joemc26 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Ich kann dir die Firewall von http://www.astaro.com empfehlen. Die kostet bei 50ip circa 1000€ und bringt eine Menge Feature mit. Du kannst die Firewall auf deine eigne Hardware aufsetzten und wenn nötig nach belieben erweitern. Wer zuhause noch einen alten rechner hat sollte sie mal testen,sie ist für denn Privat gebrauch kostenlos. joemc26 :shock: Zitieren Link zu diesem Kommentar
nikorol 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Hallo So! Damit nicht nur Checkpoint/Pix genannt werden Ich kann dir die Symantec-Firewalls empfehlen SGS 2.0 5400er Serie hat 6 Nics, zum Konfigurieren über einen Webbrowser (Java) Die kleine 5420er ist für ein 500-Clients Netz ausreichend, allerdings sind viele Features separat zu lizenzieren (IDS, AV-Scanning, Webcontent, Spam, Client-VPN) Bin extrem stark von dem Teil überzeugt Roland Zitieren Link zu diesem Kommentar
white-horse 10 Geschrieben 5. April 2004 Autor Melden Teilen Geschrieben 5. April 2004 Hi, also die Firewall sollte schon für 250 User ausgelegt sein. Was heißt ausgelegt :rolleyes: , also 250 User sollten damit so Arbeiten können und keinen Unterschied merken ob die Firewall drin hängt oder nicht. Von den Anwendungen her wird ein Hauptteil mit Office und der Branchensoftware (Navision) arbeiten. Ca. 100 User werden auch auf die Terminalserver zugreifen. Allerdings sind auch einige Clietns dabei di doch ziemlichen Traffic verursachen, da Grafikworkstations -> viele Daten auf die Fileserver. Was denkt ihr kostet so ne vernünftige Lösung. Am liebsten wäre mir ne komplette Hardwarefirwall, also kein Server mir irgend einer Softwarelösung. Wenn das "vernünftig" möglich ist. Außerdem sollte die Firewall auch noch "Platz zum Wachsen" haben. Kann also sein das es auch mal mehr User werden. Gruß Patrick Zitieren Link zu diesem Kommentar
nikorol 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Hallo http://enterprisesecurity.symantec.com/content/displaypdf.cfm?PDFID=248&EID=0 Bei dem Link (PDF) findest du auf der letzten Seite eine Gegenüberstellung der div. SGS2-Modelle und ihrer Leistungen (wobei auch Clustering von mehreren Firewalls vorgesehen ist) Schreib mal was das Ding können soll, bzw. wie du dir deinen Sicherheitplan fürs Netzwerk vorstellst (Platzierung diverser Server in Servicenetz(DMZ), mehrere Servicenetze für verschiedene Dienste, etc.? Allerdings sind auch einige Clietns dabei di doch ziemlichen Traffic verursachen, da Grafikworkstations -> viele Daten auf die Fileserver. Wenn der Server im selben Netz ist wie die Clients, dann betrifft das die Firewall nicht wirklich, und selbst wenn der Fileserver in einem Servicentz drinhängt und der Traffic über die Firewall läuft, sollte sie das verkraften (Durchsatz 200MBps, bei vollem Scan des Traffics 95Mbps <- die kleine 5420er, die großen schaffen wesentlich mehr, allerdings wären die imho ziemlich oversized) Je mehr Leistung und Features du benötigst, desto teurer wirds natürlich, aber ein Basisgerät für 50 User gibts bei Symantec ab ca. 3000 Euro (da ist allerdings kein IDS, AV, etc. dabei) Roland Zitieren Link zu diesem Kommentar
white-horse 10 Geschrieben 5. April 2004 Autor Melden Teilen Geschrieben 5. April 2004 Original geschrieben von nikorol ...Schreib mal was das Ding können soll, bzw. wie du dir deinen Sicherheitplan fürs Netzwerk vorstellst (Platzierung diverser Server in Servicenetz(DMZ), mehrere Servicenetze für verschiedene Dienste, etc.?... Ich bin kein Sicherheitsexperte, aber ich versuchs mal ;) Ich habe mir das so vorgestellt: Also Generell, die Server (bzw. einer) sollte über VPN erreichbar sein. Ansonsten haben wir keinen Webserver oder so der ständig an einer Internetstandleitung hängt. Also eigentlich fast nur Intranet. Zone 1: ISDN-Anschluß als Servicekanal (VPN, DFÜ); Eventuell später 2 MB Standleitung Zone 2: Server Zone 3: Clients Wie gesagt es sollte Möglich sein auf einen Server von außen (VPN) zugreifen zu können. Wenns leichter ist oder von der Sicherheit her besser wäre könnten hätte ich auch gegen eine Zone 4 nicht einzuwenden die vom Internet aus erreichbar ist. Gruß Patrick Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 5. April 2004 Melden Teilen Geschrieben 5. April 2004 Original geschrieben von white-horse - W2k Citrix Terminal Server - W2k Adv. SQL Datenbankserver - W2k DomainController - Novell Fileserver - Linux Webserver - Linux Fileserver hi Patrick, ich fange gleich mit einer phrase an: my2cents. back to business: bei deinen diensten, die du oben nennst, fällt mit nur ein dienst auf, der so richtig knackig mit einer (großen) firewall abgesichert werden kann-> der webdienst. die anderen, auch aus gründen der performance, sind packet/statefull inspection klassiker. dafür eine mordsfirewall hinhängen ist kein guter ansatz (ausser für den hersteller, der verdient sich eine goldene nase an euch). ich würde mehrere ansätze verwenden (die meisten wohl schon vorhanden), lokale packetfilter, ssl und IPSec für die client/server kommunikation, obligatorische virus/spam tools, eine kombination aus switch/router mit guten packet/accessfiltern (cisco catalyst) damit hast du einen möglichen engpass schon vorher abgeblockt, geschweige denn von redundanten HP-Firewalls für 250 benutzer...(teuer und vorbeikonzipiert) mehr infos? gruß dejan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.