Ergebnis 1 bis 8 von 8

Thema: Hardware-Firewall gesucht

  1. #1
    vACC-Controller
    vACC-Pilot


    Registriert seit
    30.10.2013
    Beiträge
    138
    Thanks
    124
    Thanked 228 Times in 87 Posts

    Standard Hardware-Firewall gesucht

    Hallo allerseits

    Meine jetzige (Zyxel Zywall 5) ist in die Jahre gekommen. Deshalb bin ich auf der Suche nach einer neuen Hardware-Firewall (Appliance für SOHO-Bereich). Das Teil sollte folgende Anforderungen erfüllen:

    • Mindestens 100Mbit Durchsatz
    • Aktuelle Firewall-Funktionen
    • 3-4 Netzwerkports
    • DMZ
    • VPN
    • Kein WLAN

    Kann mir jemand eine Appliance empfehlen, die nicht zu teuer ist?
    Alternativ suche ich eine Empfehlung für eine fertige Hardware für eine Sophos UTM Home Edition gebrauchen.
    Oder vielleicht hat jemand eine aktuelle SOHO Firewall übrig...

    Besten Dank und Gruss

    George
    PS: Im Notfall kann es auch eine Checkpoint sein :-)
    Das Genie beherrscht das Chaos. Wer aufräumt, ist nur zu faul zu suchen...

  2. #2
    vACC-Examiner
    vACC-Mentor
    vACC-Controller
    vACC-Trainer
    vACC-Pilot
    Avatar von HP Rutschmann (853347)

    Registriert seit
    18.01.2009
    Ort
    LFSB
    Beiträge
    3.774
    Thanks
    5.412
    Thanked 3.658 Times in 1.799 Posts

    Standard

    Darf's auch Open Source sein?

    Falls ja, kann ich pfSense 2.1 empfehlen (pfsense.org)
    Wenn Du keine sehr ausgefeilten Firewall-Funktionalitäten brauchst, tut's vielleicht auch die MonoWall (m0n0.ch).

    Als Hardware darunter habe ich gute Erfahrungen gemacht mit der ALIX (3x100Mpbs) und den APU (3x 1Gps) von Herrn Dornier (sic!) von pcEngines.ch.
    Einziges Manko mit dieser Config: Die angebotetenen WLAN-Karten (falls Du die doch noch mal brauchst) laufen erst vernünftig mit pfSense 2.2, currently beta und "higly experimental".

    Ich habe Erfahrung mit folgenden Kombinationen:
    - m0n0 auf ALIX (ca. 80 Stk zentral verwaltet im Einsatz an Basler Schulen)
    - pfSense auf APU (ca. 25 Stk zentral verwaltet im Einsatz, damit werden bis Mitte nächsten Jahres ca 160 Kindergärten ausgerollt)
    - pfSense habe ich vereinzelt (<10Stk) auch auf anderen Plattformen im Einsatz (zB SuperMicro)

    PCEngines finde ich nett, weil 1. in CH entwickelt und 2. sehr bescheidener Energieverbrauch.
    Seine Homepage und sein Webshop sind leicht steinzeitlich - aber er soll ja auch Hardware entwickeln stattdessen.

    Sorry, wenn's jetzt in Werbung abdriftet - aber ich hab das seit Jahren beruflich und privat im Einsatz und funzt klaglos.

    Achja, falls Du doch mehr als 3 Interfaces bräuchtest, wären eventuell die Soekris 5501/5601 mit 4 Ports plus Erweiterungskarte interessant. Auch die funzen prächtig.

    pfSense kannst Du als liveInstaller-CD mal runterladen und zb auf einem alten PC oder auf einer VM installieren zum Spielen.

    Bei Fragen fragen.
    Geändert von HP Rutschmann (853347) (30.11.2014 um 10:00 Uhr)
    Gruss,
    HP.



  3. Danksagungen

    George Jakubaas (30.11.2014)

  4. #3
    vACC-Controller
    vACC-Pilot


    Registriert seit
    30.10.2013
    Beiträge
    138
    Thanks
    124
    Thanked 228 Times in 87 Posts

    Standard

    für Deine ausführliche und informative Antwort, HP!

    Zitat Zitat von HP Rutschmann Beitrag anzeigen
    Darf's auch Open Source sein?
    Noch so gerne! Das schaue ich mir sowas von an!

    Folgefragen (muss leider sein):
    1) Hast Du eine Stückliste für eine APU1d4?
    2) Würdest Du diese inkl. der 16GB SSD bestellen, oder ist die sowieso obligatorisch?
    3) Kann man die Geräte auch fertig assembliert kaufen? Ich denke nicht, dass Du 160 APUs zusammenbaust...
    Das Genie beherrscht das Chaos. Wer aufräumt, ist nur zu faul zu suchen...

  5. #4
    vACC-Examiner
    vACC-Mentor
    vACC-Controller
    vACC-Trainer
    vACC-Pilot
    Avatar von HP Rutschmann (853347)

    Registriert seit
    18.01.2009
    Ort
    LFSB
    Beiträge
    3.774
    Thanks
    5.412
    Thanked 3.658 Times in 1.799 Posts

    Standard

    Zitat Zitat von George Jakubaas Beitrag anzeigen
    1) Hast Du eine Stückliste für eine APU1d4?
    Ja, im Büro...
    Im Prinzip würdest Du die APU, Gehäuse in Farbe Deiner Wahl, SSD und Steckernetzteil brauchen.
    Ich denke, das reicht schon - also irgend so was:
    2014-11-30_12h19_36.png
    Zitat Zitat von George Jakubaas Beitrag anzeigen
    2) Würdest Du diese inkl. der 16GB SSD bestellen, oder ist die sowieso obligatorisch?
    Ja und nein, Du kannst irgendeine SSD mit mSATA reinhalten. Aber wieso in die Ferne schweifen..
    Zitat Zitat von George Jakubaas Beitrag anzeigen
    3) Kann man die Geräte auch fertig assembliert kaufen? Ich denke nicht, dass Du 160 APUs zusammenbaust...
    Ja, Dornier hat mir sie für 8.-/ Gerät zusammengebaut, mit unserem Image bespielt und mit der MAC-Adressen-Barcode beschriftet. Möglich, dass er sich bei Einzelstücken weigert...
    Aber der Zusammenbau ist definitv keine Hexerei, 8 Schrauben, plus das Wärme-Ableitblech mit vorbereitetem doppelseitigem Klebeband, siehe http://www.pcengines.ch/apucool.htm
    Geändert von HP Rutschmann (853347) (30.11.2014 um 11:21 Uhr)
    Gruss,
    HP.



  6. Danksagungen

    George Jakubaas (30.11.2014)

  7. #5
    vACC-Examiner
    vACC-Mentor
    vACC-Controller
    vACC-Trainer
    vACC-Pilot
    Avatar von HP Rutschmann (853347)

    Registriert seit
    18.01.2009
    Ort
    LFSB
    Beiträge
    3.774
    Thanks
    5.412
    Thanked 3.658 Times in 1.799 Posts

    Standard

    Nachtrag:

    mono und pfSense sind beides reine L3-Firewalls - sprich Packetfilter mit relativ trivialer stateful inspection.

    Falls Du mehr brauchst (Web Screening etc.) müsstest Du doch auf die Sophos setzen.
    Da ist aber gemäss Supportform von pcEngines die mSata nicht kompatibel mit!

    Übrigens, willst Du wirklich die 4GB?
    https://forum.pfsense.org/index.php?...3913#msg403913 sagt:
    Eine Kette aus: SNORT -> Dansguardian -> Squid -> Privoxy
    dazu ein YouTube Video im stream + parallel ein Dummydownload (gesamt 50 Mb/s)
    bringen die CPU eher an die Grenzen als das die 2GB Ram voll sind.
    Gruss,
    HP.



  8. #6
    vACC-Controller
    vACC-Pilot


    Registriert seit
    30.10.2013
    Beiträge
    138
    Thanks
    124
    Thanked 228 Times in 87 Posts

    Standard

    Zitat Zitat von HP Rutschmann Beitrag anzeigen
    mono und pfSense sind beides reine L3-Firewalls - sprich Packetfilter mit relativ trivialer stateful inspection.
    Ja, L3-FW soll die primäre Funktion sein, obwohl zusätzliche Funktionen auch nicht ablehnen würde. Deshalb möchte ich beide anschauen, Sophos und pfSense.

    Zitat Zitat von HP Rutschmann Beitrag anzeigen
    Übrigens, willst Du wirklich die 4GB?
    Im Thread wird die Firewall bewusst an die Grenzen gebracht (u.a. mit dem CPU-intensivem SNORT). Deshalb sind 4 GB schon ok. Und so viel teurer sind die 2 GB nicht.

    Zitat Zitat von HP Rutschmann Beitrag anzeigen
    Falls Du mehr brauchst (Web Screening etc.) müsstest Du doch auf die Sophos setzen.
    Da ist aber gemäss Supportform von pcEngines die mSata nicht kompatibel mit!
    Dieser Hinweis kommt leider zu spät, ich habe das Teil schon bestellt. Macht nix, ich schaue zuerst sowieso pfSense an und wenn das läuft, behalte ich es. Und Proxying/URL-filtering kann ich auf der pfSense auch mit Squid lösen.
    Das Genie beherrscht das Chaos. Wer aufräumt, ist nur zu faul zu suchen...

  9. Danksagungen

    HP Rutschmann (30.11.2014)

  10. #7
    vACC-Examiner
    vACC-Mentor
    vACC-Controller
    vACC-Trainer
    vACC-Pilot
    Avatar von HP Rutschmann (853347)

    Registriert seit
    18.01.2009
    Ort
    LFSB
    Beiträge
    3.774
    Thanks
    5.412
    Thanked 3.658 Times in 1.799 Posts

    Standard

    ... und falls Du doch die Sophos willst, musst Du die halt per externem USB betreiben, das sollte funktionieren...
    Gruss,
    HP.



  11. #8
    vACC-Controller
    vACC-Pilot


    Registriert seit
    30.10.2013
    Beiträge
    138
    Thanks
    124
    Thanked 228 Times in 87 Posts

    Standard

    Für alle, die es interessiert:
    Meine Lösung ist eine Firewall auf Basis der von HP empfohlenen Hardware (PC-Engines APU1d4) mit PFsense (Open Source). Der Zusammenbau der Hardware ist etwas frickelig, aber wenn sogar ich das geschafft habe, schafft Ihr es auch.
    Die Firewall-Software ist für Fortgeschrittene IT-ler, jedoch äusserst flexibel und lässt keinerlei Wünsche offen.
    Wenn jemand Fragen hat, einfach melden.
    Das Genie beherrscht das Chaos. Wer aufräumt, ist nur zu faul zu suchen...

  12. Danksagungen

    HP Rutschmann (14.12.2014),Jonas Kuster (14.12.2014)

Ähnliche Themen

  1. Bei Ricardo hat's interessante Hardware
    Von HP Rutschmann (853347) im Forum Hardware
    Antworten: 0
    Letzter Beitrag: 16.12.2012, 07:33

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •