Firewall als VM ?

mosjka

mosjka

Experte
Thread Starter
Mitglied seit
12.01.2011
Beiträge
498
Ort
Koblenz
Leute, wie betreibt man eine Firewall als eine VM? Ist dieser Gedanke/Zeichnung hier richtig?

DSL Router --> Server LAN1/VM-LAN1 ---> Astaro/Firewall VM ---> Server LAN2/VM-LAN2 ---> Switch --> PC

Der Server läuft mit WS2008R2SP1 und die Firewall in HyperV. CPU+Board können VT-D.

Mich würde sehr interessieren wie ihr eure "virtuellen" Firewalls laufen habt?
 

Anhänge

  • astaro.jpg
    astaro.jpg
    27,9 KB · Aufrufe: 96
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nimm dir eine Quad NIC, schieb die in die VM und fertig. Der Rest ist genauso als wenn die Fw nativ laufen würde.
 
Warum Quad, komme gedanklich nich mit. Kannst du kurz was zu der Verkabelung sagen.
 
sorry, aber es ist für mich als leihen nicht einleuchtend genug wozu noch eine zweite Netzwerkkarte mit 2 Ports gebraucht wird.
 
Wenn du die Zugänge für die VM auf dem normalen Wege realisierst, dann untergräbst du die Sicherheit deiner Firewall.

Das wäre so, als wenn du deine Straßesperre errichtest, aber gleichzeitig eine Umgehung braust, ergo ziemlich sinnlos.

Wenn du die NIC durchreichst, dann ist sie für den Host nicht mehr verwendbar, dafür hast du erst so das Maß an Sicherheit, welches du brauchst.

(es sei denn dein Host hat 3 oder mehr NICs inkl)
 
naja, er hat einen ROUTER davor. (ich nehme mal an einen normalen NAT router)

da stellt sich mir eher die frage wofuer er noch eine firewall braucht. ausser er will eine DMZ einrichten. wovon ich jetzt aber nicht ausgehe ;)
 
Hab das als Modem interpretiert.
Wenn das nen Router ist, dann ist das nicht unbedingt produktiv mit der cascade.
 
Wieso weshalb warum.... das frage ich mich auch manchmal bei der Hardware die hier angegeben wird.

Die Astaro ist eine UTM-Appliance.. also nicht "nur" Paketfilter.
Ich scanne damit meine Mails (Viren/Spam), meinen Traffic, verbinde mich per VPN, teste...
wenn man damit einmal anfängt, macht es spaß, zumal die 110/120er nur um die 30W benötigt.

Ob es nun Sinn macht produktiv über eine virtuelle FW zu arbeiten... naja. Aber möglich ist es.
 
natuerlich isses das.
ich verwend aber dafuer ein alix board mit einer monowall drauf.
wenn virtuell, dann wenigstens mit einer dedicated-nic nur fuer das externe interface der fw-vm.
allerdings sollte man sich den router davor sparen.
 
Wie die beiden schon gesagt haben, bietet eine Firewall nicht nur klassische Firewalldienste an, sondern eben deutlich mehr.
Diese Features machen aber nur dann Sinn, wenn die FW direkt im Internet hängt.
Da braucht man auch keine Angst haben, dass da was passiert und einen Router als Sicherung davorschalten, denn eine FWist genau dazu da, dass sie diese Angriffe übersteht.

Das Virtualisieren hingegen kann schon Sinn machen. Wenn man eh einen VM Server 24/7 am laufen hat, dann braucht man sich keine extra HW anschaffen um eine Firewall aufzuziehen. Nachteil ist dann natürlich, wenn der Server mal runtergefahren werden muß, geht erstmal garnichts mehr, DHCP ist in der Regel auch platt, Inet usw.
Ansonsten spricht nix gegen eine VM Lösung.

Und wie auch schon am Anfang erwähnt, NIC in die VM schieben, alles andere ist ziemlich sinnlos, dann lieber nen extra kleines schmales Sys dafür.
 
Mit dem Router davor besteht sogar die Möglichkeit das potentielle Angreifer eben direkt an der Firewall VM vorbei Zugriff auf den Host erhalten.
Ist die NIC hingegen dediziert der VM durchgereicht und es hängt das Modem dran, kommt der Angreifer nur in die Firewall VM, die ja theoretisch genau derartige Angriffe abblocken soll.

Wobei das wohl nur mit nem DSL Modem funkt. Kabelanbindungen usw. brauchen ja den Kasten davor. Und nutzen dann quasi ein "transfer" Netz zwischen dem ersten Router/Modem und der Firewall. Aber dort besteht dann halt die Gefahr, möglicherweise den Host Angreifbar zu haben... Gerade wenn man dann nachlässig mit der Patcherei umgeht.
 
Warum verwendest du Hyper-V als VW Lösung und dann noch den hungrigen W2K8?
Das ganze schluckt ziemlich viel Ress... Ich betreibe auch eine Astaro bei mir zuhause auf einem ESXi Host, details sehe Signatur. ESXi bietet dir alles was du dafür benötigst...

Du kannst Astaro bestimmte NICs dann zuweisen oder direkt durchreichen (vorrausgesetzt deine Hardware kann das, Stichwort "VT-d") und auch ne zweite VM drauf mit eben den W2K8 ...

Und ulukay hat schon recht den Router davor kannst du dir sparen, solange du ein DSL Modem davor hast kannst du dich mit der Astaro UTM wunderbar ins I-net einwählen (PPPoE).

Solltest du eine DMZ einrichten wollen, so benötigst du insgesammt 3 NICs, wobei hier zu erwähnen ist das du die Intern Schnittstelle auch für andere VMs benutzen kannst, ansonsten reichen zwei für Intern und Extern...
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

L
Welche NVME für Proxmox/Firewall
Antworten
11
Aufrufe
825
loaded
L
L
systemwechsel weg vom HP ProLiant DL380p Gen8
Antworten
4
Aufrufe
899
Haldi
Haldi
A
Mein unsicheres Netzwerk optimieren
Antworten
3
Aufrufe
455
p4n0
p4n0
WMDK
CPU Wahl für SFF PC – Effizienz vs. Kerne vs. Verbrauch?
Antworten
8
Aufrufe
389
WMDK
WMDK
H
[Kaufberatung] AM5/Intel Proxmox+Storage Host
Antworten
6
Aufrufe
262
pwnbert
pwnbert
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh