Hvilken firewall skal jeg vælge?

eg ville nok starte med at kikke på Smoothwall (http://www.smoothwall.org) og så tænke over brug af DMZ

Smoothwall versjon 2.0 beta 5 har statefull inspection samt et noksaa enkelt grensesnitt for konfigurering.

Spoersmaalet er litt underspesifisert, synes jeg fordi det er en del problemstillinger som ofte dukker opp som relateres til bruk av nat og eventuelle interne eller eksteren ip'er paa de forskjellige maskinene.

En del dns servere med automatisk oppsett for dns funksjonen kan jo for eksempel ikke kjoere i et nat miljoe. (DNS serveren svarer med den interne ip som den er satt opp med i stedet for den eksterne ip den skulle svar med.)

Hvorvidt serveren kjoerer med en range av eksterne ip, og det maa de jo faktisk gjoere i og med at det dreier seg om 3 web servere, det har jo en hel del og si. (Man kan jo i praksis ikke natte til 3 forskjellige web servere.)

Hvis man kjoerer en range av ekterne ip, saa vil man med en "tradisjonell nat/router firewall" som for ekesmpel smoothwall vaere avhengig av aa dele opp nettverket i 2 stk subnettverk slik at hver side av firewall kommer paa hver sin side av subnettet.

Hvis man kun har tilgang paa en range av eksterne ip innefor et subnett, saa kan man benytte seg av Netscreen sin minste modell. (men den koster jo noen penger.)

Denne kan firewalle ogsaa i "bridging mode" dvs at den kan settes inn i et subnett uten aa paavike den eksisterende fordeling av ip adresser innefor ip rangen. http://www.netscreen.com

Hva med aa legge ut litt mere info om hvor mange maskiner det rent fysisk er snakk om, hva slags operativsystemer og hvor mange eksterne ip som finnes tilgjengelig, og hvordan disse er foredelt eller kan fordeles innenfor subnet ?? (Eller om man paa noen maate skal bruke NAT.

Smoothwall kjoerer jo vanligvis med nat. Hvis man skal kjoere flere servere i paralell ved siden av hverandre eventuelt med hver sin globale ip, saa er man jo avhengig av aa benytte en firewall der nat funsjonen kan slas av.

Er i utlandet. Har ingen Smoothwall her og kan ikke faa sjekket det, men lurer vel litt paa om det faktisk ikke er "umulig" aa slaa av nat funsjonen. Husker det som sagt ikke 100 %

Hvis saa er tilfellet saa kan man kjoere en generell linux, der man ikke behover aa kjoere nat for eksempel Red Hat.

Dersom det er snakk om tre forskjellige web servere som skal kjoere paa samme portnummer, saa ligger det vel i sakens natur at det ikke vil vaere mulig aa beskytte dette vha 1 stk smoothwall uansett, ogsaa selv om det eventuel skulle vaere mulig aa sla av nat funksjonen.

Foruten en ekstern "bastion host" saa vil det ogsaa vaere en fordel aa benytte de interne firewalls som vanligvis finnes i operativsytemene som en bariere no 2. For Linux saa er jo "firewall" en integrert del av kernel.

Som sagt litt mere infor om maskiner, operativsystemer og ip'er ...

"Dersom det er snakk om tre forskjellige web servere som skal kjoere paa samme portnummer" ... Kan tenkes jeg tar feil her.

For en generell Linux som Red Hat saa kan man godt tilordne 3 forskjellige eksterne ip'er til et kort og saa kan man natte hver av disse eksterne ip inn til hver sin server. Tror ikke dette er mulig hos Smoothwall, men husker ikke dette sikkert.

En firewall "som kan det hele" er denne:
http://www.netscreen.com/products/at_a_glance/5xt_5xp.jsp

Den kan kjoere i foelgende mode:

1. NAT mode.
2. Router mode.
3. Tranparent/bridge mode.

En generell Linux kan kjoere i mode 1 og mode 2. Dersom man modifiserer kernel for dette saa kan den alternativt kjoere i Mode 3.

For en generell Linux saa kan man godt tilordne 3 forskjellige globale ip til det eksterne kortet og saa natt inn til hver sin interne server.

En generell Linux kjoerer ogsaa fint i routing mode uten noen form for modifikasjoner. Dette vil eventuelt i praksis kreve at man har to forskjellige globale subnet mht ip'er.

Tror at smootwall hverken stoetter flere ip paa det eksterne kort eller at den kan kjoere i routing mode (Altsaa at nat funksjonen er slatt av.)

Er det noen som har en Smotthwall 1.0 eller 2.0 kjoerende som har tid til aa sjekke dette ??

http://www.netscreen.com/company/customers/case_studies/webhost_206_profile.jsp

Jeg synes at kunne huske noget om at NetScreen og var det McAfee, der er gået sammen om at lave en hardware firewall, som også kan skanne trafikken for virus. Lyder lidt interessant synes jeg.

Snook -> Hva med aa legge ut litt infor om antall maskiner og bruken av globale og interne ip ??

Den skal så i et serverskab, hvor den skal stå foran 7 servere, alle maskinerne køre Linux Debian.

Hov kan da ikke finde ud af at tælle jeg mente 10 servere.

Glemte også lige det med IP'erne, kan man på en eller anden måde få firewallen til at uddele IP'erne ?

Som jeg altid gør, vil jeg anbefale Jer at kigge på Astaro Security Linux.
Den får i en gratis 30 dages prøve licens - den er en tand mere avanceret end smoothwall.

Jeg kan kun tilslutte mig en Netscreen router/firewall/antivirusprogram/ m.m.

Den kan ALT det I skal bruge. Der kan laves flere virtuelle tunneler, til forskellige ip-range, den kan - ja you name it.

Spørg Tiscali, Swift, Erikson m.fl. De benytter denne router.
...eller ring til Solar som forhandler produktet her i Danmark. NEJ jeg er ikke
sælger af denne box, men den er godt nok smart og umiddelbart noget af det sikreste der findes på markedet. I får ikke brug for DMZ antivirusprogrammer m.m. Kun denne ene boks.

De er så også en smule dyrere end de gængse standard routere.

Jeg har nu konraket et af de firmaer der er forhandler i Danmark for Netscreen, så de kan fortælle mig noget om det :-)

Mange tak, lader lige spørgsmålet stå lidt for at se om der kommer flere ting.

Smootwall kontra Netscreen .. Den foerste er jo naermest en "hobbysak" self om den fungerer bra. Den annen er vel for de som stiller de stoerste kravne.

"Glemte også lige det med IP'erne, kan man på en eller anden måde få firewallen til at uddele IP'erne ?"

Det kan man vel saktens, men det er vel ikke akkurat det som er det store spoersmaalet.

Det som sken foerst og fremst gjelder i denne sammenheng, det er "Hvor mange eksterne ip har man tenkt aa betale for ???"

Oppsettet for firewall mm vil avhenge en hel del av hvor mange ekstene ip'er som er tilgjengelig og hvordan disse kan fordeles mht subnett. (Med mindre man benytter Netscreen i transparant/bridging mode, da gjelder ikke denne problemstillingen, i hvert fall ikke paa samme maate.)

Dersom man skal kjoere flere servere av samme type paa forskjellige maskiner, saa vil det ikke vaere tilstrekkelig med en enkelt ekstern ip eller en enkelt nat forbindelse a la Smoothwall, man vil da vaere avhengig av aa ha tilgjengelig flere eksterne ip som enten kan routes eller forwardes inn til serverene bak firewall.

Dersom det der i mot forholder seg slik at man har tenkt aa kjoere mail server paa en maskin, web server paa en annen, ftp paa en tredje osv slik at det ikke blir flere maskiner paralellt ved siden av hverandre, saa kan man godt bruke en NAT forbindelse a la smoothwall.

For at spoersmaalet skal kunne besvares litt bedre saa vil det vaere noedvendig aa legge ut litt mere info om hvor mange eksterne ip som er tilgjengelig og hvordan de forskjellige serverfunksjonene skal fordele seg paa de forskjellige ip.