Empfehlung für Firewall-Appliance

sparky23

sparky23

Final Fantasy Freak
Hi!

folgende Problemstellung (ist etwas doof zu erklären):
Ich suche nach einer günstigen Firewall-Appliance, die in der Lage ist 8 externe IP-Adressen auf jeweils eine interne LAN-Adresse zu mappen (1:1 NAT).

Beispiel:
195.212.56.1 -> 172.16.0.10
195.212.56.2 -> 172.16.0.11
usw...

Hintergrund:
Ich habe 8 physikalische Webserver, wovon jeder über eine eigene externe IP-Adresse erreichbar sein muss, d.h. kein Load Balancing oder Failover-Verbund.
VirusScan oder VPN wird nicht benötigt!

Welche Produkte könnt ihr mir da empfehlen?

Danke im voraus für eure zahlreichen Antworten :)
sparky23
 
Zuletzt bearbeitet:
Mir ist bei diesem einfachen Aufbau einfach nicht klar, warum NAT? Ich würde die Server direkt anbinden und die pf scharf machen.

Welche Appliance für die in Frage kommt... Netgear?
Finger weg von Symantec-Büchsen (Gateway Security 1600 o.ä.) die können das, saugen aber Eselbälle...
 
Hi Sheep,

ich habe leider vergessen zu erwähnen, dass es sich hierbei um ein Firmennetzwerk handelt und im Pflichtenheft des Kunden eine Hardware Firewall als "must have" aufgeführt ist.

Übrigens wird unsere momentane Webumgebung von einer Symantec Firewall geschützt, allerdings kann dieses Modell nur zwei externe IPs mappen, so dass diese für die Anbindung der weiteren Server nicht ausreicht und ersetzt werden muss.

Und ja du hast vollkommen recht, Symantec FWs sind ein "no go".
Was für eine HW-Firewall kannst du mir also als "nice 2 have" empfehlen?

Denglisch rulez :belehren:

LG,
sparky23

P.S.: Danke für dein "reply"
 
Zuletzt bearbeitet:
http://www.astaro.de/

"Hardware-Firewalls" sind übrigens auch nichts anderes als gewöhnliche Rechner, auf denen irgendein angepasstes Linux läuft, oder Vxworks etc. Aber wenn sich der Kunde besser fühlt, wenn der Kasten irgendwie durch den Hersteller "bunt" gemacht wurde, warum nicht.

Das mit dem NAT würde ich aber auch nochmal überdenken.
 
GeNUA kann ich auch nur empfehlen. Top Kompetenz und super Produkte. Und OpenBSD sprich ja für sich was Sicherheit an geht und ich denke auf die will im Netzwerk keiner verzichten...
 
aufgrund der vorhandenen information laesst sich ansich nicht wirklich vernuenftig eine firewall empfehlen. in was fuer einer umgebung wird sie stehn? muss sie nur die webserver schuetzen? wieviel traffic wird sie umsetzen muessen? etc etc.

"Hardware-Firewalls" sind übrigens auch nichts anderes als gewöhnliche Rechner, auf denen irgendein angepasstes Linux läuft, oder Vxworks etc. Aber wenn sich der Kunde besser fühlt, wenn der Kasten irgendwie durch den Hersteller "bunt" gemacht wurde, warum nicht.
Zum Vergrößern anklicken....

fw appliances sind nicht immer nur gewoehnliche rechner, und nutzen auch nicht immer ein angepasstes linux. es gibt noch nichtmal sehr viele die das so machen...
 
Die Appliances zu entzaubern ist aber wichtig. Es ist ja nicht so, als ob die App-Hersteller zaubern können und mit einem Male Firewall-ASICs aus dem Ärmel ziehen, die noch niemand gesehen hat.

Weil viele nämlich denken, diese Appliances wären irgendwie sicherer als z. B. ein OpenBSD mit pf, weil ja die Appliances das "in Hardware machen". Das ist aber idR mitnichten so.

Für so eine Mini-Anwendung würde OpenBSD + pf wohl mehr als ausreichen. Aber der Kunde möchte eine "Hardware-Firewall".
 
Endorphine schrieb:
Die Appliances zu entzaubern ist aber wichtig. Es ist ja nicht so, als ob die App-Hersteller zaubern können und mit einem Male Firewall-ASICs aus dem Ärmel ziehen, die noch niemand gesehen hat.

Weil viele nämlich denken, diese Appliances wären irgendwie sicherer als z. B. ein OpenBSD mit pf, weil ja die Appliances das "in Hardware machen". Das ist aber idR mitnichten so.

Für so eine Mini-Anwendung würde OpenBSD + pf wohl mehr als ausreichen. Aber der Kunde möchte eine "Hardware-Firewall".
Zum Vergrößern anklicken....

mir war nicht bewusst, dass firewall appliances verzaubert sind, so dass man sie entzaubern/demystifizieren muesste. natuerlich sind asics sexy. aber nur weil eine fw-appliance keine hat, ist sie noch lange keine schlechte appliance.

es geht bei appliances eigentlich auch nicht darum, dass sie 'sicherer' sind. sie sollten andere vorteile bieten (einfacherer wartbarkeit z.b.). vielleicht hilft es wenn man eine appliance als system betrachtet wo alles was nicht gebraucht wird weggelassen wurde um eine bessere uebersicht zu bekommen.

ob sein setup wirklich ein mini setup ist kann man nicht sagen. dafuer hat er ja nicht genug infos mitgegeben. vielleicht sind das acht _riesen_ webserver die extrem viel traffic abkriegen. vielleicht arbeitet er fuer eine grosse firma, die bestimmte namen auf den produkten die sie kauft haben muss... etc etc. wie gesagt, etwas zuwenig information.
 
Hallo Sparky,

schau dir doch mal pfsense an, damit müsstet du das auch hinbekommen. Dann fehlt dir nur noch die HW.
 
Hallo zusammen,

Danke erstmal für eure vielen Antworten.
Jetzt ein paar weitere Informationen:

Ich hatte diesen Thread nicht für mich, sondern für meinen Freund aufgemacht, der keine Ahnung von Unix/Linux hat. Daher kommt OpenBSD+pf o.ä. nicht in Frage. Deshalb habe ich auch in das Geekstuff-Netzwerk-Forum geschrieben, weil es hier nicht direkt um BSDs geht.

Die Webserver laufen unter Windows 2008-Server (IIS7, MSSQL usw. <- damit kenn ich mich widerum nicht aus *g*) und das Firmen-LAN ist eine homogene MS-Umgebung. Keiner der Admins kennt sich mit Unix/Linux aus.
Die Umgebung muss also FW-mäßig besonders geschützt werden, da Sie ja (ich sage nur IIS7) etliche Angriffspunkte bietet. PFs für Windows sind mir zumindest ziemlich suspekt und würde auch erhöhten administrativen Aufwand bedeuten.


Übrigens wird unsere momentane Webumgebung von einer Symantec Firewall geschützt, allerdings kann dieses Modell nur ZWEI externe IPs mappen, so dass diese für die Anbindung der weiteren Server nicht ausreicht und ersetzt werden muss.
Zum Vergrößern anklicken....
Wir hatten bereits bevor wir diesen Thread eröffnet haben bei Juniper, Astaro, Cisco und Genua nach einer passenden Lösung gesucht. Da wir uns aber netzwerktechnisch nicht soo gut auskennen hatte ich gehofft, dass uns jemand vielleicht direkt ein bestimmtes Modell empfehlen kann.

Wir denken nicht, dass Appliances sicherer sind, aber es muss in diesem Fall eine "Out-of-the-Box"-Lösung sein, also ein kleiner Kasten, den man per GUI konfigurieren kann.

Ich hoffe, damit sind einige Unklarheiten beseitigt?!
Vielen Dank, sparky23
 
du kannst dich auch mal an vantronix wenden. die beschäftigen auch OpenBSD-Entwickler und bieten dir auch vorkonfigurierte FWs an; GeNUA wird dir auch vorkonfigurierte boxen anbieten. mal auf die webseiten der beiden firmen schauen und unter "kontakt" wird sich sicherlich ein berater anschreiben lassen, der die produkte genau kennt und dir auch sagen kann, was es kostet sich bei denen eine vorkonfigurierte box zu bestellen (hinstellen, einstecken, läuft ;)).

hth
 
Zuletzt bearbeitet:
Problem gelöst -> Netscreen SSG5

So,

ich habe mir jetzt nochmal intensiv die Datenblätter von Juniper angesehen und festgestellt, dass bereits die kleine Netscreen SSG5 bis zu 300 mapped IPs und bis zu 4000 gleichzeitige Verbindungen unterstützt.

Vielen Dank an alle für eure Hilfe!!
 
Hi Sparky23,

lass Dir doch bspw. erstmal eine Teststellungen zukommen und schaut Euch das mal an.

Kommt Ihr mit dem Handbuch zurecht?

Wie ist der Support?

Welche Lizensen werde ich brauchen und welche sind inkludiert?

Nur das Datenblatt sagt eher wenig aus, das Datenblatt der Juniper ist bspw. nicht erweiterbar d.h. du hast bei einer groesseren Anforderung immer noch das selbe Stueck Hardware und musst in Prinzip etwas neues kaufen.

Gruesse,

madcode
 
Hi madCode,

vielen Dank für Deine Hinweise!

Wir haben zum Spielen eine Juniper 5GT zuhause, die ich von der Arbeit abgestaubt habe :D und das Buch "Configuring Juniper Networks Netscreen & SSG Firewalls".

In meiner Firma (ich arbeite in der Infrastruktur) werden im Firewall-Bereich ausschließlich Netscreens eingesetzt (5GT/XT bzw. SSG5, Netscreen 25, und in den beiden Rechenzentren je ein FW-Cluster SSG550), d.h. ein wenig kenn ich mich mit den Dingern aus. Ich kann zwar noch nicht wirklich Tunnel einrichten, sondern mache momentan eher Policies, aber ich arbeite daran. Wir haben auch einen externen Dienstleister, der für uns die Tunnel einrichtet und uns unterstützt, wenn wir Probleme haben. Die Jungs sind echt cool (die denken quasi in Juniper und Cisco), die kann ich auch mit privaten Fragen nerven...

Aus u.a. diesen Gründen haben wir auch direkt an Juniper gedacht, nur hatten wir die Features "mapped IP" und "virtual IP" verwechselt :mad:

Die Firma in der mein Freund arbeitet ist nicht soo groß, dass es irgendwann mal 300 Webserver werden. Derzeit sind es zwei, es werden bis zu acht. Selbst im Hinblick auf Erweiterbarkeit reicht die SSG5 mit Extended License...

Mein Freund wird die FW dann auch über unseren Dienstleister beziehen (Angebot für Netscreen SSG5 mit Extended license und Support habe ich heute angefordert).

Liebe Grüße,
Sparky23
 
die SSG5 muesste NSRP in active/active mode koennen, sprich wenns eng wird, kauft man eine zweite SSG5 und clustert beide. man muss also nicht unbedingt sofort die alte rausnehmen um sie durch was groesseres zu ersetzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben