Hardware/Router Firewall?

Der er selvfølgelig forskel, og grunden til at du, som resten af os, er rimeligt forvirret, er at der er forskel i den måde begreberne forstås samt i den funktionalitet der yderligere tilbydes. Lad mig prøve at klarificere det en smule

De fleste routere indeholder simple pakkefiltrering, hvor low-end firewalls normalt levere mindst stateful inspection.

Båndbredden er et område du også er nødt til at kikke på. En router (af den slags du køber til hjemmebrug) kan normalt kun håndtere relativ lille båndbredde, hvor f.eks. en Cisco Pix firewall kan købes til at kunne håndtere ret store båndbredder.

Hvis du har brug for en firewall professionelt, er det ofte fordi der skal trafik gennem den begge veje. DVS. du har brugere der skal ud (mail og web) og du har internet brugere der skal ind til dine servere (mail, web og ftp) og muligvis har du også brug for at kunne lave VPN fpe.sk med IPAec eller SSH eller begge. En router håndtere den slags dårligt, alene det at de fleste små routere kun har en port ind og en port ud (og her er der stor forskel på en port og et netkort som dersidder i en rigtig firewall) gør at de er dårligere egnede til at håndtere trafik der skal fordeles til forskellige zoner med regler der begrændser trafik mellem dem.

Her er hvad du kan kikke på.

Almindelig hjemmebruger med et lille netværk uden servere der skal kunne tilgås udefra.
Linksys router AG041. Denne router koster 600,- til 700,- kr, har 4 porte, stateful inspection og kan håndtere en VPN kanal.

Almindelig bruger eller lille til mellemstort firma med et netværk og en web eller/og mail server der skal tilgås udefra.
Linksys router AG041 samt en netfilter firewall. Selve netfilter firewallen er gratis da den er indbygget i linus. Du opsætter en PC med et antal netkort f.e,s. 3 en til internettet, en til hjemmenettet og et til DMZ til serverne. Denne løsning kræver at du har mod på at konfigurere en linux firewall og sætte dig ind i dette, ikke en uoverkommelig opgave, men du skal afsætte noget

Alternativt kunne være en Cisco Pix firewall der har et grafisk interface der gør opsætninger lidt lettere at gå til

Linux findes også som mere færdige løsninger se f.eks. ShoreWall eller Smoothwall.

Endelig findes en rægge udemærkede produkter i mellemklassen, SonicWall, BlackIce og andet, dererrimelige produkter derer relativt lette at gå til. Disse kan erstatte Pixen

takker for det uddybende svar!!

jeg har derhjemme et lille netværk (1-3) maskiner. jeg kører en webserver og ftp-server som også er tilgængelig "offentligt", men ikke noget med voldsom trafik. herudover sker det at jeg bruger VPN til at connecte til min arbejdsplads, hvis jeg arbejder hjemme.
jeg foretrækker firewall'en sammen indbygget og har ikke lyst til at have endnu en maskine stående (linux), selvom jeg godt ved hvordan en sådan kan sættes op som hardware firewall.

er cisco pix kun en firewall eller også router?

ellers må jeg kigge nærmere på de linksys/?? routere som indeholder SPI?

De fleste hardware firewalls i dag jobber vel etter statefull inspection prinsippet, også de rimelige.

Det har generelt forekommet feil ved routere som jobber etter statefull inspection prinsippet, slik at det alltid vil ligge en "ekstra trygghet" i en løsning som har mange brukere og som gjennom dette er godt uttestet.

Det er vel diskutabelet på hvilken måte forskjellige firewalls beskytter mot dos angrep. Når det gjelder angrep mot lukkede porter på en nat router så vil den vel stort sett holde mål.

Dersom det dreier seg om angrep mot porter som er satt åpne inn til en invendig server, så er det vel tvilsomt om de rimelige routerene med firewall har noen egentlig beskyttelse mot det.

Når det gjelder forskjell mellom rimelige firewall/routere og dyrere varianter, så ligger vel kanskje forskjellene her:

1. Graden av konfigurerbarhet og graden av brukervennlighet.
2. Evnen til trafikkavvikling og datagjennomstrønmning. (Kapasitet)
3. Graden av sikkerhet som følge av god nok uttesting.
4. Eventuelle tillegsfunksjoner som for eksempel VPN

I mange tilfeller og i hjemmedatasammenheng så holder vel også de rimeligste variantene tilstrekkelig godt mål.

Ellers så kan man jo lage en Linux firewall av en gammel PC og en generell Linux distribusjon, for eksempel RedHat. Denne kan konfigureres til for eksempel å fungere som en statefull inspection firewall ved hjelp av et firewall script: http://www.im-learning.com/iptables/ (Denne firewall script generatoren gir bare grunnfunksjoner. Mer avanserte funksjoner må eventuelt redigeres inn "manuelt").

Alternativt så kan man bruke en Linuxdistribusjon som er laget spesielt til å være firewall, for eksempel Smoothwall: http://www.smoothwall.org Denne har et grafisk web basert brensesnitt det er lett å konfigurere ut i fra.

"jeg foretrækker firewall'en sammen indbygget"

sludder :)

jeg foretrækker firewall'en indbygget i routeren eller som lille hardware box...

Så ikke det første svaret. Det er sant det med DMZ, glemte det. Man må vurdere om man har behov for å kjøre servere på et eget nettverkssegment, dvs DMZ. For hjemmenettverk så fungerer det ofte OK å kjøre eventuelle servere på LAN.

Cisco Pix er en decideret firewall, men jeg er sikker på at den kan route selvom jeg aldrig har set den som brugt som router.

Du kunne også købe en Cisco router og så købe den opgradering der hedder Firewall Feature set. Du skal så købe med 3 interfaces til så du kan lave DMZ på det ene interface.

Alternativt kan du kikke på en linksys router f.eks. BEFSX41, BEFVP41 eller AG041. Disse håndtere DMZ ved at afsætte en port der kan tilgås offentligt. Dette giver ikke den samme sikkerhed, men er en hel del billigere. AG041 og BEFVP41 er jeg sikker på her Stateful Inspection. jeg er ikke helt sikker med BEFSX41

Mener at det helt generelt er meget få firewalls i dag som ikke kan konfigureres til å kjøre "statefull".

"Alle" firewalls fungerer jo i utgangspunktet ut fra et routing prinsipp med unntak av de som kjører ut fra et bridging firewall prinsipp.

jeg vil prøve at kigge på linksys routerne med statefull firewalls indbygget eller på mindre deciderede firewalls, som jeg kan bruge sammen med min nuværende router..
tak for hjælpen begge!
nogen gange er det en jungle med alle de principper og begrever :)