12
Hardwarefirewall gesucht
Ich suche dringend einige Hardwarefirewall systeme
Seit kurzem habe ich mit einem Pool an Rechnern mit öffentlichen IPs zu tun (50 - 100 stk) und diese sind über ein optisches kabel zum isp direkt an das internet angeschlossen. Leider fällt die Möglichkeit einer Routerfirewall, so wie ich sie bisher nutzte damit weg. Ich suche ein Gerat was ich ans optische kabel hängen kann uns somit den ganzen verkehr der in meine und aus meiner dmz heraus läuft überwachen und filtern kann.
Hat jemand eine Idee welche Geräte dafür in frage kommen würden ??
Wäre üner Hilfe sehr dankbar
Mit freundlichen Grüßen
Chris
Hat jemand eine Idee welche Geräte dafür in frage kommen würden ??
Wäre üner Hilfe sehr dankbar
Mit freundlichen Grüßen
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 36031
Url: https://administrator.de/contentid/36031
Printed on: April 19, 2024 at 23:04 o'clock
12 Comments
Latest comment
Wie wärs mit einer Art Switch wo alle Optischen kabel zusammen laufen und dann zb. über eine "normale" firewall also mit Kuperkabel?
Eine etwas teurere & anspruchsvollere Lösung wäre eine Checkpoint-Firewall. Die kannst du auf einem Windows- oder Linux-Server installieren. Bei diesem kannst du auch Optische Netzwerk-Anschlüsse verbauen. (müsstest aber wieder über ein switch gehen, oder für jeden PC einen eigenen Optischen Port am server einrichten)
Checkpoint ist aber ziemlich teuer.
www.checkpoint.com
Eine etwas teurere & anspruchsvollere Lösung wäre eine Checkpoint-Firewall. Die kannst du auf einem Windows- oder Linux-Server installieren. Bei diesem kannst du auch Optische Netzwerk-Anschlüsse verbauen. (müsstest aber wieder über ein switch gehen, oder für jeden PC einen eigenen Optischen Port am server einrichten)
Checkpoint ist aber ziemlich teuer.
www.checkpoint.com
mhh, soetwas wie checkpoint ist glaub ich meine letzte lösung da es ein riesen Aufwand ist den ganzen Traffic einzurichten, ausserdem ist es mir wichtig das ganze Netz zentral zu schüzuen...
Ein Router, der den optischen Traffic als input hat ist sicher die gescheitere Lösung, eventuell einer, der das ganze dann glei an ein optische kabel wieder als output gibt.
Allerdings ist mir da kein Produkt bekannt. Kannst du mir da weiterhelfen ?
Ein Router, der den optischen Traffic als input hat ist sicher die gescheitere Lösung, eventuell einer, der das ganze dann glei an ein optische kabel wieder als output gibt.
Allerdings ist mir da kein Produkt bekannt. Kannst du mir da weiterhelfen ?
Ich hab noch nicht viel Erfahrung aber um einen Switch der dir die sache ins Kupfer umleitet wirst du sicher nicht herrum kommen! Dannach kannst du doch aber jeden X beliebigen PC mit einer Firewall dahinter Klemmen (als Beispiel: mit IPCop -Wirklich nur mal als Beispiel-).
Sollte ich da Fahlschliegen und was Fahlsch verstanden haben, würde ich mich freun wenn ihr mich aufklären könntet (WILL ALLES WISSEN :-P )
Sollte ich da Fahlschliegen und was Fahlsch verstanden haben, würde ich mich freun wenn ihr mich aufklären könntet (WILL ALLES WISSEN :-P )
also soweit ists schon richtig, ich hab nen optical converter der mir zwei adern optical auf Kuper schaltet.. in dem converter ist glei ein switch mit drinnen ist aber nich weiter von belangen...
dazwischen also noch vor den converter hät ich gern eine Hardwarefirewall die mir den ganzen bereich also alle meine rechner abschirmt.
Warum davor ? damit der verkehr innerhalb Problemlos von statten gehen kann und die AD keine Probleme bekommt.
Ich gebs zu, ist eine abartige Struktur wenn man sich das mal so überlegt aber ich hab es auch nur so übernommen und leider ists nicht zu ändern
PS: Alles wissen ist gut... zu wissen wo alles steht besser.. leute zu kennen, die wissen wo man findet was man sucht ist das beste
Meine Meinung
dazwischen also noch vor den converter hät ich gern eine Hardwarefirewall die mir den ganzen bereich also alle meine rechner abschirmt.
Warum davor ? damit der verkehr innerhalb Problemlos von statten gehen kann und die AD keine Probleme bekommt.
Ich gebs zu, ist eine abartige Struktur wenn man sich das mal so überlegt aber ich hab es auch nur so übernommen und leider ists nicht zu ändern
PS: Alles wissen ist gut... zu wissen wo alles steht besser.. leute zu kennen, die wissen wo man findet was man sucht ist das beste
Meine MeinungPS: Alles wissen ist gut... zu wissen wo
alles steht besser.. leute zu kennen, die
wissen wo man findet was man sucht ist das
beste Meine Meinung
alles steht besser.. leute zu kennen, die
wissen wo man findet was man sucht ist das
beste
Meine MeinungMuss ich dir zustimmen
.Nun aber zu deinem Problem.
Bei schmahlem Geldbeuten empfehle ich, wie oben schon gesagt, IPCop. Einfach einen Rechner damit Füttern und die entsprechenden LAN Karten rein. Problem an der Sache ist nur, dass ich nicht weiß, in wie weit IPCop und andere Distries damit klar kommen, mit Optical LAN.
Bei geöfneten Geldbeuteln empfehle ich Securepoint. Vorteil an der sache ist das sie auch gleich HW mit anbieten nur leider ist der ganze Spaß etwas wie teuer. Und Sonst schau dich einfach mal bei HP und anderen Herstellern um, die haben Mitlerweile auch ganz gute HW Lösungen zu diesem Problem, wo auch die Preise erschwinglich sind.
Nu dann viel Spaß wa
P.S.: Ich hack dich eh, hab ja eh schon deine IP
da schau 127.0.0.1
naja das Proble ist das es kaum eine linux distribution gibt, die mit derartigen datendurchsätzen klar kommt. Auf der diesjährigen CeBIT stellten da ein paar was vor aber das lief auch eher naja...
es gibt da einige Überlegungen das ich den converter einfach vor die Firewall häng und dann gigabit Kutper durch die FW schleife in einen weiteren Switch der dann wiederum mein netz verbindet...
Es gibt einige wenige FW Systeme die bereits auf gigabit laufen aber vom Preis her sicher eher was für die Mutigen.. zwischen 3000 und 5000 für eine anständige Variante ohne Userbegrenzung...
also wenn jemand erfahrungen mit Gigabit FW und Linux hat und eventuell noch einen Vorschlag wie das ganze zu realisieren ist ohne den rechner in die Knie zu zwingen, ich würde mich freuen. So langsam bereitet mir das ganze kopfzerbrechen... noch dazu weil 100public ip-Adressen, den Sinn versteh ich einfach nich.. da ist keiner... aber ändern heist Bürokratie und Bürokratie heist mehr Kopfweh
Gruss und Dank
es gibt da einige Überlegungen das ich den converter einfach vor die Firewall häng und dann gigabit Kutper durch die FW schleife in einen weiteren Switch der dann wiederum mein netz verbindet...
Es gibt einige wenige FW Systeme die bereits auf gigabit laufen aber vom Preis her sicher eher was für die Mutigen.. zwischen 3000 und 5000 für eine anständige Variante ohne Userbegrenzung...
also wenn jemand erfahrungen mit Gigabit FW und Linux hat und eventuell noch einen Vorschlag wie das ganze zu realisieren ist ohne den rechner in die Knie zu zwingen, ich würde mich freuen. So langsam bereitet mir das ganze kopfzerbrechen... noch dazu weil 100public ip-Adressen, den Sinn versteh ich einfach nich.. da ist keiner... aber ändern heist Bürokratie und Bürokratie heist mehr Kopfweh
Gruss und Dank
Ich hab ne Lösung gefunden! also:
Fenster auf, Netzerk raus, Fenster zu, fertig gut oder? 
Nuja aber wegen deinen bedenken den Rechner in die Knie zu Zwingen, versuch es doch an der Stelle mal mit einem kleinen Dell Server die sind eigentlich ziemlich gut in sachen Preis Leistung.
Und der Red Hat Server weiß ich kann auch 1GB soweit ich weiß! Und wenn du diesen dann als Firewall konfigurierst müsste es doch gehn oder?
Fenster auf, Netzerk raus, Fenster zu, fertig
gut oder? Nuja aber wegen deinen bedenken den Rechner in die Knie zu Zwingen, versuch es doch an der Stelle mal mit einem kleinen Dell Server die sind eigentlich ziemlich gut in sachen Preis Leistung.
Und der Red Hat Server weiß ich kann auch 1GB soweit ich weiß! Und wenn du diesen dann als Firewall konfigurierst müsste es doch gehn oder?
Hach ja, das wär schon was ein Fenster mein ich...
Warum sind wir Sysadmins denn nur immer so benachteiligt ? dabei sind wir doch eigendlich so lieb Habe leider kein Fenster bei uns im Serverraum und auch nich in meinem Büro (Dunkelkammer lässt grüssen) (Codename: Darkroom, the romm where volunteers will be lost)
Naja der Dell Server wird es nich bringen, ich habe es mal mit nem 2 Ghz Rechner getestet und das ist irgendwie nich das wahre, das bremst das ganze netzwerk aus da ja einige Daten durch die Leitungen huschen. Das Problem ist die Verarbeitung der Datenmengen. Ich hab mit nem Bekannten in den USA gesprochen, der hat mir eine Firewall von Watchguard empfohlen, die benutzen sie auch und er meinte zwar würde man es merken das etwas die Leitung blockt bei grösserem Verkehr aber das wär noch zu ertragen wenn man zum vergleich die Lösung der Konkurrenz betrachte...
Wir haben seit gestern die ersten Trojaner in unserem Netz und siehe da.. alle sind überrascht ich nich und ich bin noch einigermaßen beruhigt das nur drei Rechner intensiver bedroht sind und nur mit Trojanern aufwarten. Ich werd mir also baldigst eine Lösung überlegen müssen.
Hat denn jemand Erfahrungen mit NAT loops das ich den Traffic über eine schleife durch einen Rechner jagen kann ???
Übrigenz wär ich sehr an weiteren Kontakten im Bereich der Administratoren interessiert da es doch immermal Sachen zu diskutieren gibt und ich es mag mehrere Standpunkte zu betrachten. Ausserdem hör ich gern was von der Welt, sollte also jemand interesse haben...Nachricht
Beste Grüsse
Chris
ein Fenster mein ich...Warum sind wir Sysadmins denn nur immer so benachteiligt ? dabei sind wir doch eigendlich so lieb
Habe leider kein Fenster bei uns im Serverraum und auch nich in meinem Büro (Dunkelkammer lässt grüssen) (Codename: Darkroom, the romm where volunteers will be lost)Naja der Dell Server wird es nich bringen, ich habe es mal mit nem 2 Ghz Rechner getestet und das ist irgendwie nich das wahre, das bremst das ganze netzwerk aus da ja einige Daten durch die Leitungen huschen. Das Problem ist die Verarbeitung der Datenmengen. Ich hab mit nem Bekannten in den USA gesprochen, der hat mir eine Firewall von Watchguard empfohlen, die benutzen sie auch und er meinte zwar würde man es merken das etwas die Leitung blockt bei grösserem Verkehr aber das wär noch zu ertragen wenn man zum vergleich die Lösung der Konkurrenz betrachte...
Wir haben seit gestern die ersten Trojaner in unserem Netz und siehe da.. alle sind überrascht
ich nich und ich bin noch einigermaßen beruhigt das nur drei Rechner intensiver bedroht sind und nur mit Trojanern aufwarten. Ich werd mir also baldigst eine Lösung überlegen müssen.Hat denn jemand Erfahrungen mit NAT loops das ich den Traffic über eine schleife durch einen Rechner jagen kann ???
Übrigenz wär ich sehr an weiteren Kontakten im Bereich der Administratoren interessiert da es doch immermal Sachen zu diskutieren gibt und ich es mag mehrere Standpunkte zu betrachten. Ausserdem hör ich gern was von der Welt, sollte also jemand interesse haben...Nachricht
Beste Grüsse
Chris
He He ich klaub es wird langsamm eine allein Unterhaltung .
Hm so langsamm gehn mir auch die Ideen aus! Ich kann mir nicht vorstellen das du soooo große Datenmängen hin und her schiebst das das ein 1000Mbit Netz auslastest wo du doch wahrscheinlich eh keine 1000MB Down-/Upload hast oder (selbst bei einer Standleitung dürfte dies unmöglich sein)! Ich sag mal wenn das Daten immer vom selben Ort sind dann tät ich diese zwischen speichern und das selbe wenn es raus geht.
z.B.:
Paket A aus London -> per VPN -> auf Server bei dir der direkt am Netz hängt -> vom Server per Subneting dann von der Person/abhohlen und per ordentlichem Switch IP rechte geben. Damit lastest du das Netz nicht aus hast den vorteil das du verschiede Netze hast und das die Daten immer noch auf dem Server gespeichert werden. Hast das verstanden (wenn nicht sag es dann versuch ich es dir noch mal per Visio Bild zu Mailen).
Dann kannst du hinter den Server nun bzw. an eine zweite Leitung die Firewall und das dahinterligende Firmennetz bzw. den Internetzugang legen.
Ach und noch nen Vorteil hat der Spaß du, kannst die Daten gleich auf dem Server scannen und brauchst dies nicht erst im Netzwerk zu machen.
Nachteil deine Leute müssen 2 mal mehr klicken.
.Hm so langsamm gehn mir auch die Ideen aus! Ich kann mir nicht vorstellen das du soooo große Datenmängen hin und her schiebst das das ein 1000Mbit Netz auslastest wo du doch wahrscheinlich eh keine 1000MB Down-/Upload hast oder (selbst bei einer Standleitung dürfte dies unmöglich sein)! Ich sag mal wenn das Daten immer vom selben Ort sind dann tät ich diese zwischen speichern und das selbe wenn es raus geht.
z.B.:
Paket A aus London -> per VPN -> auf Server bei dir der direkt am Netz hängt -> vom Server per Subneting dann von der Person/abhohlen und per ordentlichem Switch IP rechte geben. Damit lastest du das Netz nicht aus hast den vorteil das du verschiede Netze hast und das die Daten immer noch auf dem Server gespeichert werden. Hast das verstanden (wenn nicht sag es dann versuch ich es dir noch mal per Visio Bild zu Mailen).
Dann kannst du hinter den Server nun bzw. an eine zweite Leitung die Firewall und das dahinterligende Firmennetz bzw. den Internetzugang legen.
Ach und noch nen Vorteil hat der Spaß du, kannst die Daten gleich auf dem Server scannen und brauchst dies nicht erst im Netzwerk zu machen.
Nachteil deine Leute müssen 2 mal mehr klicken.
Halli Hallo...
Ich glaub das Thema ist ein sehr spezifisches und eine breitgefächerte Diskussion ist wohl anstrengend
Naja also erstmal.. hinter der Firewall wird nicht nur das alte Internet liegen sondern auch noch der Rest der Uni
Das heist andere Fakultäten und noch ein paar Studienräume die zu unserem Center gehören. Demzufolge auch einige Rechner die sich mit dem Server unterhalten möchten zwecks active directory. Das Problem ist nicht so sehr das Aufkommen an Daten sondern die Wartezeit besonders zu stosszeiten. Alles in allem machens gerade die kleinen Dateien und Kommunikationen in Masse die die Leitung verstopfen werden...Unser Center ist über eine Optische Leitung mit 10 Adern zu 250 Mbit verbunden also kannst dir die maximale Durchsatzrate errechnen
Da ist die Standleitung von über 30 Mbit eher der Flaschenhals wenn auch nur unmerklich *angeb*Ich habe dein Vorschlag schon verstanden nur bin ich mir nicht sicher ob er gerade in diesem Fall nützlich wäre, wohl eher nich
Ich werde auf ein Angebot zurückgreifen müssen unser komplettes Netz an einem Anderen Standort via Backbone schützen zu lassen. da habe ich erstmal den fremden Verkehr ausgeschaltet, der Interne mussd dann über zwei Firewalls separiert werden um redundanz zu schaffen.
wird eine Watchguard werden denn wie erwähnt ist der Datendurchsatz bei 1000 Gbit garantiert und ausserdem stimmt das Preis/Leistungsverhältnis
beste Grüsse
Chris
Ah okay dann wissen wir beide gleich für die Nachwelt was gut ist I <3 Admins :-P
Nur mal so ich würde wegen Datendurchsatz und so Subneting machen, also verschiedene Subnetze, dann reduzierst du bekanntermassen den ganzen Spaß! Z.B. für jede Etage euer Fakultet einen IP-Bereich oder für jede Abteilung. Und wie schon gesagt, du kannst, sofern du Programierbare Switche hast, gleich auch Sicherheitsaspekte festlegen.
Kann ich dir zumindest aus meinem kleinen Heimnetzwerk nur gutes berichten
Und ich denk mal wenns bei mir schon geht (unter sicher schwereren Bedingungen als bei dir) wird das bei dir nen klags. Da du vorallem nicht den anschein machst auf die Rübe gefallen zu sein wie manche unserer Kollegen. Nixs für ungut...
Gut Adios bis denne
P.s.: Kannst ja mal ne Private Naricht mit Mailadresse oder anderer Kommunikationsmöglichkeiten schicken.
dann wissen wir beide gleich für die Nachwelt was gut ist I <3 Admins :-PNur mal so ich würde wegen Datendurchsatz und so Subneting machen, also verschiedene Subnetze, dann reduzierst du bekanntermassen den ganzen Spaß! Z.B. für jede Etage euer Fakultet einen IP-Bereich oder für jede Abteilung. Und wie schon gesagt, du kannst, sofern du Programierbare Switche hast, gleich auch Sicherheitsaspekte festlegen
.Kann ich dir zumindest aus meinem kleinen Heimnetzwerk nur gutes berichten
Und ich denk mal wenns bei mir schon geht (unter sicher schwereren Bedingungen als bei dir) wird das bei dir nen klags. Da du vorallem nicht den anschein machst auf die Rübe gefallen zu sein wie manche unserer Kollegen
. Nixs für ungut...Gut Adios bis denne
P.s.: Kannst ja mal ne Private Naricht mit Mailadresse oder anderer Kommunikationsmöglichkeiten schicken.
Schau mal bei www.bsi.de nach, vielleicht hilft Dir dies weiter?
