Anbefaling af firewall

Jeg vil altid anbefale en hardware firewall og da der er er tale om nogle servere vil jeg også mene det er den løsning du bør vælge.

Uhyggelig god firewall hvis man ikke lige har råd til hardware firewalls:
http://blackice.iss.net/product_server_protection.php

Hvis den skal beskytte netværk hvor du køre usikre tjenester (mail, web og ftp) skal det være en hardware firewall med DMZ hvor de usikre tjenester placeres på DMZ, du kan kikke på følgende løsninger:

Cisco pix
firewall 1
Smoothwall

Jeg vil helst have en hardware firewall. Nogle gode bud/ideer?

>>olly<< hvorfor dog det ?? ville en Check point firewall 1 SUN server eller Linux iptables server ikke gøre det samme.?? hardware firewalls bruges kun af folk uden expertice inden for firewalls. alle firmaer med en IT-Admin med lidt respekt for sig selv, kører SUN firewalls :)

Serveren er ikke placeret lokalt men står i et hosting center.

Brug en Cisco Pix så den virker :) eller en dyrere model end pix men vælg en cisco det virker :o)

zeus19>> Hvis du siger det, men jeg har personlig god erfaring med HW firewalls. De virker hvis man ikke ønsker at skulle pille for meget med opsætning selv. Er jo et valg hvad man ønsker. Jeg vælger HW fordi jeg ikke er for hård til det med iptables som ville være mit alternativ.

Jeg ønsker ikke at pille for meget!
Hvad er der af forslag til hardware firewall..?? gerne nogle der købes for menneske penge :o)

Hvis man vil gjøre det rimelig uten at det går ut over sikkerheten så kan i hvert fall en dedikert Linux firewall være tingen.

Smoothwall kan vel være et alternativ dersom man ønsker en enkel konfigurering:
http://smoothwall.org

Den er imidlertid forholdsvis enkel hva konfigureringsmuligheter anngår, slik som jeg ser det. Er heller ikke sikker på at smoothwall er tingen dersom det dreier seg om flere webservere.

Man kan slik som jeg ser det lage en bedre firewall på basis av for eksempel en standard Red Hat 8.0 distribusjon. Konfigureringen av denne krever imidletid at man har en del kunnskaper om hvordan dette kan gjøres ved hjelp av systemkommandoer og konfigurasjonsscript.

I en firewall basert på Red Hat 8.0 eller tilsvarende så har man full detaljkontroll over datastrømmen, både inn og ut av lan/dmz og også separat inn og ut til de lokale prosessene i firewall maskinen.

Dersom manm har behov for dmz, dvs at man både skal kjøre lan/arbeidsstasjoner og servere fra den samme nettverkstilkopling så kan man med fordel benytte 2 stk firewall maskiner, først en ytre firewall maskin som fitrerer trafikken inn til dmz. "I enden av" dmz så benytter man en ny firewall maskin forran et eventuelt "lan".

Mener at man har en langt bedre detalkontroll over firewall funksjonenene i en generell linux som Red Hat 8.0 enn i en spesialisert firewall løsning som smoothwall (Her går det jo mere på et standardoppsett.)

Å benytte flere web servere eller andre servere bake en firewall basert på Red Hat 8.0 bør (vil helt sikkert) kunne fungere uten problemer.

Har aldri forsøkt løsninger der dette har vært et problem, men har lest at Linux (PC) firewall løsninger skal være begrenset i trafikk kapasitet i forhold til andre hardware løsninger, for eksempel fra Cisco.

Dersom det dreier seg om for eksempel en internettlinje på 2 Mbs så ville jeg ikke tro at dette skulle være noe problem for en Linux firewall med rimelig god hardware.

Trafikkapasiteten for Linux vil vel også avhenge litt av hvordan man utformer firewall rules. Som firewall for et web server lan/dmz så vil det vel være tilstrekkelig med en ordinær static inspection firewall ?? Linux vil vel ha betydelig bedre kapasitet som stateless inspection firewall enn som statefull inspection firewall. Statefull inspection vil eventuelt kunne velges forran et eventuelt indre lan. (Det dreier seg jo om et hosting senter og der er det vel ikke noe lan.)

Uansett hva slags firewall løsning man velger som "inngangsfirewall" til for eksempel en rack i et hosting senter så vil det også være en fordel om man også aktiviserer de aktuelle fireewall funsjoner som finnes for de enkelte server operativsystemene. Både Windows 2000 og Linux har jo mulighet for firewalling/filtrering av inn og utgående trafikk (Egentlig: Linux: inn/ut Win 2000: Bare inn)

Dersom man har tilgang til en range av ip adresser så bør man vel tenke litt over hvordan man eventuelt deler dette opp i subnettverk, hvor manke eksterne ip'er man har tilgjengelig osv.

Serverne sidder på en 150Mbit linie.

Da er man vel oppe i det hasighetsnivå som kan være et problem for Unix/Linux baserte firewalls vil jeg tro.

Med den hastighed er begrebet menneskepenge vist også lidt anderledes...

Hvis du kikker her og vælger alle kan jeg ikke finde nogle der er over 100Mbit.

http://edbpriser.dk/netvaerk/net-firewall.asp

Den jeg ville vælge (fordi jeg har tillid til det firma) ville være den Cisco de har... Men jf. deres hp så har den et grænse på 20 Mbit.

Det var da ellers en flott oversikt over firewalls og priser !!

For å være helt ærlig så er jeg vel litt undrende til at en tilkopling til internett skal ha en hastighet på 150 Mbit.

Mener da å huske at ordinær månedsleie for en 19 tommers rack med 2 Mbit linje ligger på ca 12-20.000 Kr pr måned. Dette inkluderer da en ip range tilsvarende et klasse C nettverk. (255 adresser eller noe slikt).

Hvis en 2 Mbit linje koster opp mot 20.000 Kr pr måned hvor mye skal da en 150 MB internett linje koste ? Finnes det i det hele tatt ? Har inernett over atlanteren og over skagerak denne hastigheten ??

Hvis det er noen som vet at det jeg sier her er helt feil, så legg beskjed !
(For mengden av kunnskap som man tilegner seg den er jo faktisk proporsjonal med antall ganger man tar feil !) :-)

"Mener da å huske at ordinær månedsleie for en 19 tommers rack med 2 Mbit linje ligger på ca 12-20.000 Kr"

Plasert i server senter med mere eller direkte tilkopling til internet backbone.

Ellers hvis man sammenlikner med de firewalls som står nevnt i prislisten så vil jeg nok tro at en Linux boks basert på Red Hat og 100 Mbit inn og ut kan måle seg med samtlige av de firewalls som står nevnt i prislisten.
Noen som er uenig ?? Eventuelt - hvorfor ikke ??

Det er da muligt at kunne koble sig op imod et backbone på 150 mbit! Og man kan sagtens komme ned i pris i dag. F.eks. hos TDC´s Server Camp. Backbone på 155 mbit:-)

En Astaro Firewall (linux baseret) kan det som du vil have den til. Dog koster deres gigabit version kassen, men prøv du at finde en gigabit firewall som ikke gør.

Skriv til mig på kristian@waveit.com hvis du vil høre mere omkring denne firewall.

Jeg er blevet lidt i tvivl omkring SW kontra HW firewall.
Hvad er bedste SW eller HW firewall ? Og hvorfor ?

En firewall er generelt altid software/hardware. med det mener jeg at det jo altid er et stykke hardware hvorpå der køre en firewall applikation.
Det skal bare være en dedikeret firewall og ikke en personlig.

Astaro er en proffesionel firewall som bruges af nogle udbydere i tyskland f.eks.

Har du kigget på netscreen produkterne ? de er nemme at sætte op og har en ganske fornuftig performance til prisen.

Netscreen 5XT kan klare omkring 70mbit, 20mbit 3des kryptering.
Skal du have mere igennem er der Netscreen-50 og 200 serien som kan hhv. 170mbit firewall og 50 mbit 3des og aes, ns200 : 400-500 mbit firewall og >200mbit 3des og aes.

www.netscreen.com

Jan

Netscreen har faktisk bedre performance end Firewall one. Ud over det er det et meget billiger.
Christian