Veröffentlicht 12. April 201114 j Hey Leute, ich soll meinem Ausbilder Vor- und Nachteile von Firewallsystem zusammensuchen. Gegenüberstellen soll ich: Hardware-Firewall (wie z.B. Cisco-Firewalls) und Firewalls auf Linux/Unix basierend. Hab mir schon ein paar Gedanken gemacht aber das ist noch viel zu wenig. Und im Internet find ich auch nicht so viel Also: Hardware-Appliance pro Performance Ausfallzeiten gering Herstellersupport con Preis Linux pro Kostengünstig Flexibel in der Wahl der Hardware con langsamer? weniger Support Störungsanfälliger Habt ihr noch Ideen und ist das überhaupt richtig was ich bisher habe? Gruß
12. April 201114 j Hallo Furo, auch Linux-Firewalls werden als Hardware-Firewalls gezählt - und oft sitzt hinter einem wie auch immer gearteten Interface der verschiedensten Firewall-Appliances oft ein etwas "verbessertes" Linux. Die Unterscheidung sollte dann eher lauten: - spezielle Hardware-Appliance vs. normale Hardware (Astaro z.B. bietet auch eine "Software-Version" an, die bis auf Treiberdetails & co identisch ist) - fertige Lösung vs. spezielle Distri vs. selbstgestrickt tsg
12. April 201114 j Ein wichtiger Punkt ist das die Manipulation eines Schaltkreises (Hardware) um einiges schwerer ist als bei einer Softwarelösung.
12. April 201114 j Also unsere Firewallsoftware laeuft auf einem gehaertetem Linux- Kernel. Wir verkaufen sie direkt als Appliance oder auch nur die Softwarelizenz. Es ist eine Hardwarefirewall. @ Disastar: Gibt es eine echte Hardwarebasierte Firewall ueberhaupt? Im Prinzip muss trotzdem eine Software vorliegen, schaetze ich Ich halte es zudem fuer extrem schwierig bis ausgeschlossen, das du von Aussen, auch bei einer Linux- Firewall, die Firewall manipulieren kannst. Eine mit entsprechend optimierten CPUs/ Logischen Schaltkreisen ausgestattete Firewall kann perfromanter sein, muss aber nicht. Auch eine Linux- Basierende Firewall kann sehr schnell sein. Hier kommt es auf die verwendete CPU und die Speicherbandbreite/ Latenz des Systems und auf die Netzwerkkarte an. Bis zu einer gewissen Schwelle ist man denke ich mit einer Hardwarefirewall auf Linux- Basis gut bis besser dabei... Und wenn du eine Appliance kaufst, bekommst du auch Support. Stoehrungsanfaelligkeit ist auch so ein Thema... Mmmmh, ich denke das ist eigentlich sehr schwer zu beantworten. So Schwarz- Weiss wie vor 10/ 15 Jahren ist das wohl nicht mehr
12. April 201114 j Echte Firewall in Hardware gegossen gibt es eigentlich nirgends - ggf wird ein Teil in Hardware abgebildet, aber Hardware hat einen grossen Nachteil: Sie lässt sich sehr schwer umbauen, wenn sich an den benötigten Features etwas grundlegendes ändert - und gerade im Firewallumfeld sind doch immer wieder einige Änderungen einzupflegen, um gegen neuen Bedrohungen gewappnet zu sein. Von daher setzt jede Firewall zu 90%++ auf Software, ggf wird der eine oder andere zeitkritische Teil etwas hardwarenäher implementiert, aber mehr auch nicht. tsg
13. April 201114 j Also dass eine HW-Firewall geringere Ausfallzeiten hat halte ich für ein Gerücht... Des weiteren ist Redundanz auch mit Softwarelösungen machbar, je nach Distribution. (z.B. über CARP interfaces) Die meisten Appliances laufen ohnehin auf Linux oder BSD Basis. Meist ist ein Argument für Appliances die wesentlich einfachere Bedienung, diesbezüglich kann man aber auch mal pfsense empfehlen, ist ein FreeBSD mit komfortablen Web Interface und unterstützt auch die oben genannten CARP interfaces.
20. April 201114 j Unsere Erfahrung: Die Hardwareappliance ist im Support mit drin. Fällt sie aus, wird sie während der Laufzeit ausgetauscht, meistens am nächsten Tag. Man hat damit weniger Stress als sich ein selber zusammengefrickeltes System zu tauschen... somit ist die Ausfallzeit durchaus geringer. Ab einer bestimmten Größe ist die integrierte Hardware günstiger als wenn man sie selber zusammenstellt. Bei Problemen hat man eine Hotline die man erreichen kann. Klar, es gibt Foren.. aber wenn es zum GAU kommt möchte ich nicht erst 4h auf eine Antwort warten bis sich mal jemand mit dem selber Problem finden lässt. Bezüglich der Hardwarekompatibilität... ich sehe da keinen Vor- oder Nachteil, man muss nur aufpassen, dafür gibt es Kompatibilitätslisten (HCL) mit denen die Software geprüft wurde. Man sollte bzw muss dabei unterscheiden ob man dem Kunden, oder dem Arbeitgeber "Geld bringen" möchte. Mit einer selbstgestrickten Lösung verdient zwar der Dienstleister mehr, der Kunde hat aber im Supportfall oder Wechsel des Dienstleisters das Nachsehen. Geringe Anschaffungskosten, hohe Wartungskosten. Von Zertifizierungen und Schulungen die man bei den großen Offiziellen Anbietern machen kann mal ganz abgesehen. Wir haben diese Szenarien mal durchgerechnet und es hat sich einfach nicht gelohnt. Solange alles läuft super... aber wehe es fällt mal etwas aus.
20. April 201114 j Es gibt keine Hardware-Firewalls... Es gibt nur Firewalls. Und die sind immer ein Konzept aus Hardware, Software und Hirnschmalz. Die Frage ist nur: Was ist die Hardware? Entweder fertige Appliance samt Software (z.B. Juniper oder Cisco ASA), oder Commodity Hardware mit Software (z.B. Checkpoint). Wenn man es rundrumsorglos haben will nimmt man etwas in Form von Cisco ASA, Juniper o.ä. Wenn ich zuviel Zeit oder einen ausgeprägten Spieltrieb habe, amüsiere ich mich mit PCs und Linux/ FreeBSD o.ä.
21. April 201114 j Du legst es schon gerne auf die Goldwaage, oder? Ich denke jeder hier, der sich damit auseinander setzen muss, weiß wovon wir reden. Wenn man eine einfache Firewall haben möchte dann wird es sich u.U. noch "lohnen". Möchte man aber eine UTM-Appliance (Cisco, Juniper, Astaro), dann ist das ganze Gefriemel doch mehr Zeitverschwendung... finde ich. Wenn irgendwas nicht läuft dann durchsucht man Foren, oder es gibt Updates die eingespielt werden müssen und so weiter... nee, dann lieber einen bestehenden Maintenancevertrag nutzen und Ruhe haben. Zum Lernen und rumspielen sicherlich nicht schlecht.
21. April 201114 j Du legst es schon gerne auf die Goldwaage, oder? Ja, weil es wichtig ist. Wegen Ungenauigkeiten entstehen schnell so Mythen wie bei der Gesellschafterhaftung: Ein Gesellschafter haftet nie mit seiner Einlage, sondern in Höhe seiner ausstehenden Einlage mit dem Privatvermögen. Ein kleiner aber feiner Unterschied bei der Formulierung. Aber sehr wichtig. Und deswegen mag ich es gerne immer exakt und die Goldwaage ist mein treuester Begleiter.
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.