Metainformationen zur Seite

Firewall

Um Netzwerke sinnvoll zu verwalten, setzt man Router ein. Sobald man hier gezielt in den Datenverkehr eingreift nennt man den Router meist Firewall. Für eine echte Firewall bräuchte man ein umfassendes Sicherheitskonzept, bei dem das Gerät nur eine Komponente ist. In diesen Beschreibungen werde ich, wie es meist gebräuchlich ist, mit Firewall nur ein Gerät mit passender Software bezeichnen.

Basis

Router können Markengeräte, wie von Bintec oder Cisco, sein oder aber eine Softwarelösung auf Standardhardware. Jenseits einer Schulung wird man den Router auf einer geeigneten Serverhardware installieren.

Mehrere Jahre bin ich mit Firewalls in zwei Niederlassungen auf Debian-Basis mit dem iptables-Frontend Shorewall sowie den üblichen Diensten wie dnsmaq, squid usw. gut gefahren. Der Einsatz setzt allerdings gute Linuxkenntnisse voraus, auch wenn man „nur“ die Firewall konfigurieren möchte. Um eine bessere Wartbarkeit auch für weitere Personen zu ermöglichen, werde ich im Laufe des nächsten Schuljahrs auf OPNsense umsteigen, das z.B. auch von linuxmuster.net und schulnetzkonzept.de verwendet wird und den Open-Source-Gedanken ernst nimmt. Natürlich kann ich dabei alle gelernten Konzepte weiterverwenden :-).

Entscheidungsmatrix für Router

Markengerät (Appliance): Firewalldistribution Eigene Softwarelösung:
Beispiel Bintec-Router OPNsense Debian mit Shorewall, dnsmasq usw.
schickes Äußeres Klarer Aufbau eines betriebsbereiten,
beschrifteten kommerziellen Geräts
Eigenverantwortung,
aber möglich
Eigenverantwortung,
aber möglich
Einheitliche Oberfläche ja (Browser) ja (Browser) Konfigurationsdateien
Energieverbrauch optimal i.d.R. überdimensioniert i.d.R. überdimensioniert
Flexibilität / Universalität exakt die gekauften Optionen große Auswahl unbeschränkt
Professioneller Support möglich evtl. möglich nein
Virtualisierbar nein ja ja
Preis hoch niedrig niedrig
Entscheidung nicht mein Ding zukünftige, meiner Meinung
nach optimale Lösung
bisherige Lösung

Eine Besonderheit ist bspw. eine gekaufte Appliance mit OPNsense aus einer Hand. Hier kommen viele Vorteile zusammen.

Dienste

In der Praxis übernimmt ein Firewall-Gerät mehr Aufgaben als nur IP-Routing mit einem Regelsatz:

  • DHCP (dynamisch & fix)
  • DNS (Intranet) + DNS-Proxy (Internet)
  • Web-Proxy
  • NTP-Server