Welcher Firewall für Webserver?

#1 Hallo zusammen..

Ich wollte euch um eine Hilfe bitten. Wir suchen für unsere Webserver im Datacenter einen geeigneten Firewall.

Was uns am anfang ganz wichtig ist. Wir können keine grossen Veränderungen am Server vornehmen (IP-Adressen bleiben). Alle IP-Adresse müssen direkt durch den Firewall geroutet werden. Am besten wäre einfach wenn wir den Firewall dazwischen schalten könnten, ohne Veränderungen an den Webservern.

Zum Firewall:

Da ich mich nicht sehr gut auskenne müsst ihr mich belehren

Da wir verschiedene Webserver haben mit verschiedenen benützen Ports müssten alle verschieden konfiguriert werden. z.B für FTP Server mit xx IP-Adressen dürften z.B. nur Port 21 geöffnet sein und Für Webserver mit xxx IP-Adressen dürfen nur diese und diese für Webserver 2 nur diese und diese. Jeder Webserver hat eigene IP-Adresse (je 255). D.h man müsste die irgendwie in Gruppen einteilen können. Ich will nicht jede IP-Adresse einzeln einrichten müssen. Das geht mir zu lange. Z.B 213.x.x.x bis 213.x.x.x FTP allowed und 213.x.x.x bis irgendwas Port Xy.

Der Firewall bräuchte eingetlich nur einen Internen Netzwerkport (DMZ). Da wir den nur für ein Netzwerk brauchen.

Der Firewall müsste natürlich alle heutigen Schutzmechanismen haben, wie auch IDS.

Ich kenne mich ein bisschen mit Watchguard Firewalls aus. Haben hier im Geschäft einen Firebox 700 stehen. Bei Watchguard gibt es eine Drop-In Configuration. Dort kann man den Webserver einfach einstöpsen und ohne umkonfigurieren läuft das teil. Bin eigentlich hoch zufrieden mit Watchguard, das Teil wäre eigentlich Ideal für uns. Nur wollen wir noch andere möglichkeiten offen halten.

Was noch gut wäre, ist ein Webinterface für Konfiguration. Und natürlich IDS, was ja glaub der Watchguard nicht hat.

Jemand hat mir mal gesagt für mein Vorhaben wäre ein Cisco Router das ideal. Mit Packet Filtering. Nur wäre so einer schwer zu konfigurieren. Dort könnte man die IP-Adressen in Gruppen einteilen, was eben die configuration einfach gestalten würde.

Ich habe mich mal ein bisschen umgesehen und bin auf den 3Com SuperStack gestossen. Nur werde ich aus den Angaben dort nicht schlau. Habe also keine Ahnung ob meine Wünsche möglich sind.

Der Firewall sollte maximal um 3000 bis 4000 Euro sein. Das ganze muss in ein 19" Rack passen mit etwa 2 HE Platzverbrauch.

Gesamthaft sind es ca. 15 Server im Einsatz. Müsste also auch Perfomancemässig passen.

Ihr denkt jetzt sicher was ist das für ein spinner, der hat ja keine Ahnung. Deshalb wende ich mich ja an euch Profis.

Danke für eure Antworten!!!

Gruss
Death Warrant

#2 Schau Dir mal die Software Firewall Symantec Raptor 7.0 an. Finde Sie ist nicht schlecht und hält auch zu!

http://enterprisesecurity.symantec.de/products/products.cfm?ProductID=113&PID=na&EID=0

Gruss
Baer

Lass mich wissen was Du denkst.. baertronics@gmx.net

#3 Hallo Bear,

Hätte eigentlich eher an eine Hardware-basierende Lösung gedacht. Der Raptor 7.0 biete zuviele funktionien die wir nicht brauchen. Das eben die meisten Firewalls.. auch Watchguard bietet im Prinzip mehr als wir brauchen. Wir brauchen den Firewall wirklich nur für maximal 15 Webserver, mehr nicht.

Ich schaue mir den Raptor 7.0 morgen noch detailierter an. Vorallem auch die Preise.

Danke erstmals für deinen Tipp!

Gruss
Death Warrant

#4 Ich denke auch eher an eine Hardwarelösung! Ich möchte Dir aber dringend empfehlen, daß Du Dich an einen professionellen Dienstleister auf dem Gebiet Netzwerksicherheit wendest!

Das Szenario und Deine Anforderungen sind nicht trivial, die Konfiguration schon gleich gar nicht. Ich würde auf den ersten Blick auf Cisco und ein eigenständiges IDS tippen, aber ohne vor Ort gewesen zu sein und eine Bedarfs- und Ist-Analyse zu erstellen, würde ich gar nichts machen! Es wäre auch gut denkbar, daß ein Statefull Inspection Firewall (SIF) hier die Aufgaben übernehmen kann. Ein Application Level Firewall (ALF) wäre vielleicht auch möglich.

Sorry, aber mit ein paar Zielen hier im Forum wird das wohl nicht zu meistern sein! Es soll ja auch sicher sein, oder?

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Hallo Robert

Danke für deine Info,

Kennt Ihr gute Dienstleistung auf diesem Gebiet? Am besten auf die Schweiz ausgerichtet. Aber auch Deutschland tut es.

Danke und Gruss
Death Warrant

#6 Wo stehen denn die Server?

RObert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 Die Server stehen im Global Link Datacenter in Frankfurt. Unsere Firma hat den Sitz in der Schweiz.

Gruss

#8 Bieten die vielleicht selbst solche Dienstleistungen an? In der Schweiz kenn ich mich leider nicht uas, schau mal: http://www.google.ch/search?hl=de&ie=UTF-8&oe=UTF-8&q=Security-Consultant&meta=cr%3DcountryCH

http://www.binatec.ch/itsec.html

Sorry!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Danke Robert

Die bieten leider keine Dienstleistungen in diesem Segment an. Vielleicht kennst du jemand im Raum Frankfurt? Vorort wäre sicher auch nicht schlecht.

Ich werde auf jeden falls mal die google links durchstöbern.

Danke und Gruss
Death Warrant

#10 Vor Ort wäre zum Beispiel: http://www.avinci.de/ - keine Erfahrung. Eine andere Möglichkeit wäre auch www.bechtle.com - mit denen bin ich recht zufrieden.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#11 Im Sicherheitsbereich sind sie nicht übel. Die haben seit neustem da einen Competence Center und deren Chef hats wirklich drauf.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#12 Danke Robert

Werde die links mal checken..

Gruss
Deaht Warrant