Firewallauswahl

2024-07-26

Um Netzwerke zu verbinden, setzt man Router ein. Sobald man hier gezielt in den Datenverkehr eingreift nennt man den Router meist Firewall. Eine echte Firewall stellt ein umfassendes Sicherheitskonzept dar, bei dem das Gerät nur eine Komponente ist. In diesen Beschreibungen werde ich jedoch, wie es meist gebräuchlich ist, mit Firewall nur ein Gerät mit passender Software bezeichnen.

Auswahl

Firewall-Router können Markengeräte sein (z.B. von Sophos oder Cisco) oder aber eine Softwarelösung auf Standardhardware. Jenseits von Experimenten oder einer Schulung wird man den Router auf einer geeigneten Serverhardware installieren.

Erfahrung: Mehrere Jahre bin ich mit Firewalls in zwei Niederlassungen auf Debian-Basis mit dem iptables-Frontend Shorewall sowie den üblichen Diensten wie dnsmaq, squid usw. gut gefahren. Damals auch mit der Verbindung von Windowsnetzen durch Tunneln über ssh… Der Einsatz setzte allerdings gute Linuxkenntnisse voraus, auch wenn man "nur" die Firewall konfigurieren mochte. Um eine bessere Wartbarkeit auch für weitere Personen zu ermöglichen, bin ich vor Jahren erfolgreich auf OPNsense umgestiegen und gerne dabei geblieben. OPNsense wird z.B. auch von linuxmuster.net und schulnetzkonzept.de verwendet und nimmt den Open-Source-Gedanken ernst. Natürlich kann man dabei alle gelernten Konzepte weiterverwenden :-).

Entscheidungsmatrix für Router

Markengerät Firewalldistribution
Beispiel Sophos-Router OPNsense
Design Klarer Aufbau eines betriebsbereiten, beschrifteten kommerziellen Geräts Eigenverantwortung, aber möglich
Oberfläche Browser Browser, Kommandozeile
Energieverbrauch optimal evtl. überdimensioniert
Flexibilität nur die gekauften Optionen große Auswahl
Support möglich evtl. möglich
Virtualisierbar nein
(nur Software: ja)
ja
Preis hoch niedrig
10GBit-Option sehr teuer (Pakete) nur Hardwarekosten
Entscheidung nicht mein Ding für mich optimale Lösung

Eine Besonderheit ist bspw. eine gekaufte Appliance mit OPNsense aus einer Hand. Hier kommen viele Vorteile zusammen.

Früher hatte ich noch eine Spalte für eine selbst gebastelte Lösung auf Linux-Basis mit Shorewall aufgeführt. Dies möchte ich aber nicht mehr empfehlen.

Dienste

In der Praxis übernimmt ein Firewall-Gerät mehr Aufgaben als nur IP-Routing mit einem Regelsatz: