Welche professionellen Firewall (Hardware oder Software)?

[lobolobolobo]

Ich bin auf der Suche nach einer professionellen Firewall (Hardware oder Software) für Firmenzwecke (Mailserver, VPN etc). Bei Softwarelösung wäre mir Mac am liebsten, Linux oder Windows geht aber auch. Sollte möglicht übersichtlich zu konfigurieren sein, damit sich keine Fehler einschleichen.

Wer hätte eine Empfehlung?
Dank schon mal im voraus

gruss
Thomas

 

[below]

"Professionell" und "Software" schliesst sich eigentlich immer aus.

Was suchst Du genau, und zu welchem Budget? Suchst Du eine richtige Firewall mit echter DMZ, oder nur einen besseren NAT Router?

Gruss

Alex

 

[asg]

PF
Kommt von OpenBSD, gibt es aber auch unter FreeBSD. Rennt bei uns in der Firma ohne Probleme. Mittels CARP+pfsync kannst Du eine schöne transparente, redundante FW aufziehen. Dabei werden nichtmal streams unterbrochen wenn Master FW ausfällt und Slave FW übernimmt (auch die states).

 

[asg]

@below
Warum sollte sich das ausschliessen?

 

[Wile E.]

@below
Warum sollte sich das ausschliessen?

Weil der Gag an einer Firewall die Trennung von internem und externem Netz ist, das kannst Du ueber ein bisschen Software nicht erreichen, dann hast Du immer noch einen Rechner, der im inneren Netz steht und von aussen erreichbar ist.
Wile

 

[below]

asg, naja, OK, das war falsch ausgedrückt: Ohne dedizierte Hardware.

Viele Leute wissen - in vielen Bereichen nicht - was "professionell" ist. Mit Linux Kisten hat für mich eine richtig professinelle Firewall drei Rechner.

Aber wie gesagt, hier reden ja Leute schon von Firewall wenn sie einen NAT Router meinen.

Gruss

Alex

 

[asg]

@Wile E.
Warum sollte das nicht gehen? Und nein, die internen Rechner sind von aussen nicht zu erreichen. Wie auch, wenn diese eine interne IP nutzen.
Und ja, eine DMZ ist auch hiermit kein Problem.

 

[Wile E.]

@asq: wie willst Du nur ueber Software erreichen, dass kein Rechner aus dem internen Netz von aussen erreichbar ist? Das ginge IMHO nur mit Stecker ziehen, ist doch ein Widerspruch in sich.

 

[maceis]

Die Begriffe Hard-/Software Firewall sind IMHO ohnhin irreführend.
Entscheidend ist wohl eher, wie die Topologie des Netzes aussieht.

 

[below]

Wie gesagt, das ist alles nur eine Frage von "Was ist Hardware".

Das geht alles mit drei Rechnern und jeweils drei Netzwerkkarten. Damit kannst Du "drinnen" und "draussen" sehr sauber trennen. Aber eben nicht auf einem Rechner, oder zweien.

Gruss

Alex

 

[Wile E.]

Die Begriffe Hard-/Software Firewall sind IMHO ohnhin irreführend.

*zustimm* Ich denke auch, dass wir hier einfach aneinander vorbeireden. Eine Firewall heisst fuer mich eine bauliche Trennung von Netzwerken. Softwareloesungen sind "personal firewalls" und heissen nicht umsonst so (personal, nicht firewall).
Wile

 

[below]

*zustimm* Ich denke auch, dass wir hier einfach aneinander vorbeireden. Eine Firewall heisst fuer mich eine bauliche Trennung von Netzwerken. Softwareloesungen sind "personal firewalls" und heissen nicht umsonst so (personal, nicht firewall).

Ja, sehe ich auch so. Sehr schön, ich glaube, jetzt vertragen wir uns alle wieder

Gruss

Alex

 

[sECuRE]

Hi,

wenn's nicht viel Geld kosten soll: einen alten Rechner mit IPCop (www.ipcop.org) und Copfilter (www.copfilter.org) - läuft wunderbar und - soweit ich das beurteilen kann - ziemlich sicher .

cu

 

[asg]

Wie soll WS1, mit der IP 192.168.0.1, von aussen erreichbar sein?

 

[maceis]

...
Eine Firewall heisst fuer mich eine bauliche Trennung von Netzwerken. Softwareloesungen sind "personal firewalls" und heissen nicht umsonst so (personal, nicht firewall).
Wile

Dann solltest Du mal RFC 2828 lesen.

 

[Wile E.]

Wie soll WS1, mit der IP 192.168.0.1, von aussen erreichbar sein?

Immer noch nicht verstanden? Mindestens einer Deiner Rechner ist bei Deiner Softwareloesung Teil des internen UND des externen Netzes. Damit ist ein Rechner des internen Netzes von aussen erreichbar. Und jetzt sag bitte nicht, da koenne ja nichts passieren, wenn "ne Firewall" drauf installiert ist.

(Hat mal wer nen guten Link zur weiteren Erlaeuterung? Die wikipedia-Seite ist nicht richtig brauchbar.)

Wile

 

[TheHazel3yes]

123456

 

[BalkonSurfer]

Auf jeder Hardware läuft ne Software (Anmerkung: Ich glaube nicht an festverdrahtete Firewalls )

 

[asg]

PF ist keine Personal Firewall, sondern steht für "Packet Filter".
Mehr dazu unter: http://www.openbsd.org/faq/pf/

In einer sog. HW-Firewall kommt auch nur Software zum Einsatz. Dazu oft *BSD basiert (Nokia,...). Und PF, von OBSD, ist wohl zur Zeit die state-of-the-art FW FireWall.

 

[Wile E.]

Dann solltest Du mal RFC 2828 lesen.

OK, ich hab da wohl eine etwas "oldschooligere", systembezogene Definition im Kopf. (Aendert aber nichts an den anderen Punkten.)
Wile