2024-07-26
Firewall-Router können Markengeräte sein (z.B. von Sophos oder Cisco) oder aber eine Softwarelösung auf Standardhardware. Jenseits von Experimenten oder einer Schulung wird man den Router auf einer geeigneten Serverhardware installieren.
Erfahrung: Mehrere Jahre bin ich mit Firewalls in zwei Niederlassungen auf Debian-Basis mit dem iptables-Frontend Shorewall sowie den üblichen Diensten wie dnsmaq, squid usw. gut gefahren. Damals auch mit der Verbindung von Windowsnetzen durch Tunneln über ssh… Der Einsatz setzte allerdings gute Linuxkenntnisse voraus, auch wenn man "nur" die Firewall konfigurieren mochte. Um eine bessere Wartbarkeit auch für weitere Personen zu ermöglichen, bin ich vor Jahren erfolgreich auf OPNsense umgestiegen und gerne dabei geblieben. OPNsense wird z.B. auch von linuxmuster.net und schulnetzkonzept.de verwendet und nimmt den Open-Source-Gedanken ernst. Natürlich kann man dabei alle gelernten Konzepte weiterverwenden :-).
Markengerät | Firewalldistribution | |
---|---|---|
Beispiel | Sophos-Router | OPNsense |
Design | Klarer Aufbau eines betriebsbereiten, beschrifteten kommerziellen Geräts | Eigenverantwortung, aber möglich |
Oberfläche | Browser | Browser, Kommandozeile |
Energieverbrauch | optimal | evtl. überdimensioniert |
Flexibilität | nur die gekauften Optionen | große Auswahl |
Support | möglich | evtl. möglich |
Virtualisierbar | nein (nur Software: ja) |
ja |
Preis | hoch | niedrig |
10GBit-Option | sehr teuer (Pakete) | nur Hardwarekosten |
Entscheidung | nicht mein Ding | für mich optimale Lösung |
Eine Besonderheit ist bspw. eine gekaufte Appliance mit OPNsense aus einer Hand. Hier kommen viele Vorteile zusammen.
Früher hatte ich noch eine Spalte für eine selbst gebastelte Lösung auf Linux-Basis mit Shorewall aufgeführt. Dies möchte ich aber nicht mehr empfehlen.
In der Praxis übernimmt ein Firewall-Gerät mehr Aufgaben als nur IP-Routing mit einem Regelsatz: