2 neue Firewalls fürs Rechenzentrum

[crashi102]

Hallöchen,

zuerst einmal hoffe ich das ich dieses Thema im richtigen Bereich eröffne. Konnte mich nicht so gant entscheiden ob hier oder im Netzwerkbereich.

Es geht um folgendes. Wir verlagern unseren Serverraum demnächst in ein Rechenzentrum. Bei dieser Gelegenheit werden auch alle Server für die Infrastruktur erneuert. Unteranderem auch die Firewalls. Bis jetzt war es so, das wir 2 Rackserver mit Debian hatten und darauf mittels iptables alle Regelen mit der Handgeschrieben haben. UM eine Ausfahlsicherheit zu bieten wurde das ganze mittels Heartbeat redundant gehalten. Durch die immer größer werden Netzwerk und di stetig ansteigende Anzahl an Regeln, war dies natürlich immer mit viel Arbeit verbunden und die Übersicht lit ein wenig darunter.


Bei dem Neuaufbau stellt sich für mich die Frage, werde ich die neuen FW's auch wieder mittels iptables füllen oder schau ich mich mal nach "fertigen Firewalls" um?

Was ist von diesen Firewalls wie von Sonicwall, Astaro, Securepoint, Endian usw zu halten. Wie ist die Flexibilität und die Konfiguration. Wie sieht es mit HA aus? Ich habe bis jetzt leider keinerlei Erfahrungen von solchen Teilen. Gibt es eventuell die eine oder andere Firma mit der man sich mal konkreter beschäftigen sollte, oder sagt man letzlich sind die alle Schrott und man sollte lieber alles über das gute alte iptables alles wieder aufbauen.

Umfang:

-ca. 10 bis 15 Netze (teils VLan's, denke mal mit 6 bis 8 Netzwerkport pro FW komm ich aus)
-ca. 100 Webserver (mal grob geschätzt im Durschnitt 3000 Besucher pro Webserver
-Mailserver: Durchschnitt 10.000 Mails/Tag bei Newsletter kan dies aber auch mal auf über 100.000 ansteigen. Hier wäre jedoch zu erwähnen das die FW's nichts an Filteraufgaben übernehmen müssen, sondern das dies das Mailcluster übernimmt.
- 1 VMWare ESX Cluster (Arbeiten ca 40 Leute drauf)
- OpenVPN Zugang (30 bis 50 Leute)

So ich hoffe ihr könnt mir ein paar Tips geben.

Grüße Leo

[Hummerman]

Wie wärs mit einer echten Firewall wie einer Cisco ASA, jedenfalls mit der Cisco PIX habe ich gute Erfahrungen gemacht.

[crashi102]

Wie gesagt ich bisher in diese Richtung mit Firewalls noch keinerlei Erfahrung. Bin für jeden Tip dankbar und werde mir dann alles mal genau angucken. Eventuell hat ja der ein oder andere schon Erfahrungen sammeln können und sagt das Pordukt brauchste dir erst gar nicht anzuschauen, dass ist grotten schlecht.

[Voodoo5]

Bei uns in der Firma (Sitz und 2 Aussenstellen) laufen Clavister-Firewalls (jeweils 2 Stück im Cluster).
Auf einem Server ist die Managmentsoftware, mit der dann alle verwaltet werden.

[ulukay]

kommt drauf an was du damit machen musst
wir haben hier solche konfigurationen die man mit einer cisco nicht abbilden kann.
da werden pakete teilweise 2x genatet usw..
die flexibilitaet einer iptables oder pf firewall wirst mit einer vorgefertigten fw nicht erreichen, die frage is nur ob do eine solche flexibilitaet brauchst.
wenn du wieder auf iptables gehen willst empfehle ich dir openbsd mit pf anzusehen. da brauchst du fuer diesselbe configuration weniger befehle, es ist uebersichtlicher und session replication gibts auch - sprich wenn eine der beiden maschinen hops geht verlierst du nichtmal eine verbindung

[fatal-x]

Hallöchen,
Was ist von diesen Firewalls wie von Sonicwall, Astaro, Securepoint, Endian usw zu halten. Wie ist die Flexibilität und die Konfiguration. Wie sieht es mit HA aus?

HA ist bei den größeren Versionen eigentlich immer möglich.

nicht zu vergessen WatchGuard Firebox!

Um eine Auswahl zu treffen kannst am besten die Produkte einfach testen.
Endian, Astaro haben Live Systeme am laufen für die du Logindaten bekommst. Beide kannst aber auch runterladen und auf eigenem Systemen testen.
Von Watchguard kannst du dir eine Teststellung über mehrere Wochen besorgen.

Securepoint fand ich von der Konfiguration sehr umständlich im Gegensatz zu Endian. (hatte ich in meiner projektarbeit).

[kenen]

Vyatta Open Networking - Software-based Routing & Security - Open Alternative to Cisco

[crashi102]

Hi,

vielen dank schon mal für den ein oder anderen Hinweis oder Vorschlag. Da werd ich mir wohl mal die ein doer andere Software mir angucken müssen. Auch das letze produkt von kenen werde ich mir mal näher anschauen. Davon hab ich bis jetzt noch gar nichts gehört. Aber für Open Source bin ich immer zu haben

[Backbone]

Ich bau gerade an einer Erweiterung für eine vorhandene Astaro. Es hängen im Moment ca. 5000 Clients in einem HA Cluster aus zwei Servern dran und das klappt 1a. Ja, Astaro hat in den letzten Monaten bei den Updates zweimal daneben gehauen, aber die haben das schnell behoben. Die heute erschienene Version 8 ist vor allem in Sachen Hardware-Kompatibilität ein großer Schritt nach vorn.
Generell laufen die von uns verwalteten Astaros (und das sind schon einige) erstaunlich problemfrei.

Ja, da kostet Geld. Aber letztlich muss sich jedes Unternehmen irgendwann entscheiden ob es Fachleute nur für die Wartung der IT-Sicherheit abstellen will oder das lieber in so eine Appliance auslager und das knowhow der Leute woanders produktiv einsetzt.

Lass dir von einem Astaro-Partner ein Angebot machen, die können die auch eine Appliance für 30-Tage als Demo-Gerät zur Verfügung stellen.

Backbone

[MrDeluxe]

Ich verwende ebenfalls eine Astaro Security Gateway aber im Homebreich. Habe mir keine Appliance gekauft sondern habe mir das Teil selber zusammengebaut. Es läuft alles sehr gut. Das Forum ist aktiv und einem wird immer geholfen und das alles kostenlos. Bin sehr zufrieden bisher. Einziges Mano finde ich das es ziemlich auf die Hardware geht. Hätte nicht gedacht das 1GB so ausgelutscht wird aber so ein Problem lässt sich ja leicht beheben

[Backbone]

Seit der Version 7.5 ist die CPU-Belastung vergleichsweise gering, Ram ist dagegen gern mal ein bisschen knapp. Hier sind gern mal 2GB oder 4GB gefragt, wobei es erst seit der Version 8 (vor wenigen Tagen freigegeben) einen 64bit-Kernel gibt der auch deutlich mehr Ram verträgt.

Backbone

PS: Gerade in der Version 8 wurde eine neue Kernfunktion vorgestellt. Der WebApplication-Filter dient direkt dazu Webserver im Internet zu schützen...

[MrDeluxe]

Meinst du den Release hier:
Update 8.000: Release and Download Information - Astaro User Bulletin Board

???

Ist das nun die endgültige Version 8 oder ist das immernoch Beta?

[konfetti]

Cisco ASA oder GenuaScreen/GenuGate (GenuGate ist die einzige echte 2Stufige Firewall, da 2 Server eben getrennt für ALG und PFL da sind)

kommt halt auf den Einsatzzweck an, was willst/musst denn damit machen?

[Backbone]

Meinst du den Release hier:
Update 8.000: Release and Download Information - Astaro User Bulletin Board

???

Ist das nun die endgültige Version 8 oder ist das immernoch Beta?

Hier steht alles drin:
Astaro Up2Date Announcements: Announcing release of Astaro Security Gateway Version 8

Zusammenfassung:
Die V8 gibts jetzt schon als Software, für die Appliances wirds ab Mitte August Upgrades geben. Ab Oktober werden dann alle neuen Appliances nur noch als V8 ausgeliefert.

Backbone

[josen]

Hallo,

OpenBSD mit "pf" kann ich statt einer über die Kommandozeile konfigurierten CISCO ASA nur jedem ans Herz legen. Ich setze solche Firewall für kleinere Arbeitsgruppen bis ~ 100 Teilnehmer ein und habe bisher nur gute Erfahrungen gemacht.

Sehr flexibel, sehr ordentlich dokumentiert. Allerdings solltest du dann die Hardware mit Support kaufen, den bietet das OpenBSD-Projekt meiner Ansicht nach nicht. Wenn du Wartungsverträge brauchst, schau dir mal die kommerziellen Anbieter an, die Firewalls auf Basis OpenBSD anbieten.

Grüße