Jeg skal på onsdag placere en af vores servere i et datacenter i århus. Specifikationerne er som følger: Windows 2003 WEB edition med WWW og FTP server.
Der er ingen firewall or what so ever på forbindelsen, det ønsker jeg selvfølgelig at imødekomme, men hvad skal jeg vælge?
Er windows indbyggede OK? Eller skal jeg investere i en soft/hardwarefirewall, og i så fald hvilken?
Tja si det .. Hvis det skal være en brukbar firewall så skal det vel være en hardware firewall av en eller annen type. Problem: De fleste hardware firewalls kjører jo i routing mode, slik at man da i utgangspunktet ikke bare har behov for en ip men fler for å kunne sette opp et mini subnett. Alternativt så kan man jo sette opp en nat løsning, med server kjørende på en intern ip, men det er det jo ikke alle serverfunksjoner som støtter.
Så har man muligheten hardware firewall, bridge mode. Det finnes vel noen små som ikke koster ell verden, men gratis er det vel ikke. Brigde mode firewalls kan settes opp "gratis" ved hjelp av Linux.
Forhåpentligvis så er det noen andre som har noe mer konkret for eksempel innfor området små, rimelige bridgemode hardware firewalls.
"Bridge mode" vil si en firewall som er i stand til å kjøre "in front" i forhold til en ekstern ip uten å legge beslag på noen ip. (Men skal man logge inn på den så bør den ha en ip.) Fungerer nærmest som en to port switch med en innebygget firewall. Ved eventuelt manglende ip så vil den være nokså usynlig slik at den ikke er videre lett å hacke.
Windows indbyggede ffirewall er ikke god nok endnu, selvom den er markant bedre i Vista end i XP. Når vi taler server, så bør en sådan altid beskyttes med en bastions firewall, der er en firewall der er placeret foran serveren istedet for at være installeret på denne. Som bastions firewall kan du bruge både hardware og software firewall, der findes fornuftige løsninger begge steder.
Som bastions firewall ville jeg nok kikke på en pix hvis vi taler hardware firewall og en linux eller FreeBSD hvis vi taler software. Hvad du vælger bør afhænge af hvor du kan skaffe viden ide selv den bedste firewall sagtens kan sættes forkert op.
Pix er relativt billig og det er til at få både uddannelse og hjælp til opsætning. en linux/freBSD boks kan være lidt mere nørdet at sætte op, selvom der findes værktøjer der letter processen.
Men det er da prinsippielt sett ingen forskjell på en hardware firewall som kjører med Cisco/Pix operativsystem og en som kjører med Linux eller FreeBsd. Alle firewalls inneholder joe eller kjører på et operativsystem. Forskjellen er vel først og fremst den at en "hardware firewall" kjører på sin egen dedikerte hardware, mens en "software firewall" kjører på samme hardware som serveren. Ellers så betyr jo "bastion firewall" vel i denne sammenheng det identisk samme som en hardware firewall, det være seg FreeBSD, Linux , Pix eller hva det måtte være.
Uanhengig av fabrikat eller forskjeller på et detaljnivå, så vil det slik som jeg ser det, uansett først og fremst være nødvendig å ta stilling til disse grunnleggende spørsmål:
1. Har jeg tilgang til en eller fler IP adresser. Kan jeg eventuelt sette opp et subnett ?
2. Behøver server funksjonene å ha den eksterne ip inne på serveren ? (I mange tilfeller så er den en del konfigureringsfunksjoner og slikt som ikke fungerer slik som de skal.)
3. Hvor stor plass finnes det tilgengelig ? Er det fysisk plass til å sette opp en liten hardware firewall eller eventuelt en hel ekstra PC som firewall.
Uansett fabrikat og type så kommer man vel ikke vekk fra de 3 spørsmålene over, og de valgene man gjør vil få de noenlunde samme effekter på tvers av fabrikat og type.
Hvis det er plass til en PC ekstra, eventuelt i et miniformat, så er det vel ikke spesielt komplisert å sette opp en Linux firewall for en slik anvendelse. Er det slik at serveren er avhengig av å ha den eksterne ip helt inn, så er vel valgene enten å disponere en range med ip adresser slik at man kan sette opp et subnett eller man kan kjøre en firewall i bridge mode. Pix med bridgemode koster vel stadig vekk noen kroner ? En Linux firewall kan kjøre enten i routing mode eller i bridge mode. Bridge mode er noe mer komplisert å sette opp.
Man skulle tro at en kombinasjon av en rimelig hardware firewall, Linux, pix eller noe annet og Windows egen innebygde skulle kunne fungere bra. Skal man kjøre en hardware firewall enten det er Pix, Linux eller hva det måtte være så kommer men ikke utenom problemstillingene rundt IP adresser, bridge mode og routing mode. Disse problemstillingene gjelder vel formodentlig på tvers av alle fabrikater og modeller hva angår hardware firewaller, bastions firewall, eller hvilket navn man nå setter på det.
Ellers som et argument når man skiller mellom en "hardware" og en "software" firewall så kan man vel argumentere med at for eksempel en Linux firewall eller en FreeBSD firwall kan inneholde en harddisk mens operativsystemet i en typisk "ferdigkjøpt" hardware firewall ofte lastes fra et elektronisk minne.
I den siste tiden så har det jo kommet mange forskjellige dedikerte Linux distroer som etterhvert har blitt optimalisert for å kjøre fra et elektronisk minne, slik at prinsippene for disse Linuxbaserte firewalls og andre hardware firewalls blir nokså like.
En vanlig PC som hardware plattform må vel formodentligvis gi forholdsvis mye for pengene med hensyn til kapasitet og prosessorkraft. Databehandlingen skker jo på et "low level" nivå og innefor kernel, for Linux, slik at det ikke gir den store belastningen.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
