Onderwerp: Firewall

Hoi Allemaal,

Ik heb op zoek naar een goede firewall welke in transparant mode werkt.

Hardware of als virtual appliance.

Welke geleidelijk is te configureren zonder heel het netwerk meteen te moeten aanpassen.

Wat is een goede en betrouwbare firewall?

Mvg,
Harland

Moest je het magazine 'datanews' hebben, 2/3 weken geleden stond er een test in van stuk of 5 stukjes software ...

Pfsense goede ervaring mee

Ik kan er een paar opnoemen, Pfsense zoals Tim al aanhaalde, Endian en Vyatta (alhoewel dit meer router is, maar ook geschikt als firewall/loadbalancers). Of als je hardware devices wilt juniper, cisco, watchguard. Dit is zo wat er direct in me opkwam, maar er zijn er nog tal van andere. Misschien dat je ook even kunt vertellen hoeveel data er over moet, of het voor 1 server of meerdere is etc...

Wij doen veel met FortiGate's, die kunnen ook in transparant mode werken.

Wij zijn momenteel de Astaro Security Gateway aan het testen alleen de test resultaten m.b.t. transparent zijn slecht.

De preformance is heel laag, deze hebben wij nu geinstalleerd binnen een vmware omgeving.

Hoe zijn de preformance stastics van bijvoorbeeld Pfsense of FortiGate in transparent mode.

Wat de bedoeling is de firewall te plaatsen en langsaam de servers verplaatsen achter de nieuwe firewall.

Dus bijvoorbeeld de firewall helemaal open zetten en daarna dicht zetten per ip adres?

Is dit makelijk om een transparent firewall al te plaatsen en daarna de servers van voor de firewall naar de achterkant verplaastsen zonder te veel problemen?

Check ff naar de Sonicwall NSA 2400, leuk ding, hebben er verschillende van draaien.

Wij hebben wel eens gebruik gemaakt van Juniper Firewall. Ook zeker tevreden over, kost wat maar goed, zit ook veel in. Zeker een aanrader om eens naar te kijken.

Om hoeveel traffic gaat het?

Ik zeg pfSense, maakt je niet afhankelijk van een hardware leverancier en zodra je meer filter capaciteit nodig hebt, dan breid je je huidige machine uit of koop je (voor een aantrekkelijke prijs) een nieuwe.

Oorspronkelijk geplaatst door Stina

Om hoeveel traffic gaat het?

Draaien nu ongeveer 10Mbit gemiddels per dag dus nog niet zoveel.

Het zijn vooral webservers/mail en antispam oplossingen.

Ook een aantal VPS'sen van klanten.

Dat moet dan geen probleem geven. Zelf goede ervaringen met OpenBSD en pfSense als software matige bridging firewalls en als je wat meer te besteden hebt en een hardwarematige firewall wilt kijk dan naar een mooie Juniper SSG of een een tweedehandse Juniper netscreen (NS25 / 50 zouden hier al voldoen).

Wij gebruiken watchguard, waar we tenslotte heel tevreden over zijn.

http://www.watchguard.com/products/index.asp

Wij gebruiken een simpele eigen oplossing op basis van:
- Debian
- Keepalived (enkel ivm redundancy)
- IPTables
- Eigen scripts

Bovenstaande draait transparant en de IPTables rules maken we aan in een database op een systeem achter de firewall. Als de database onbereikbaar is blijven de "oude" regels ingebruik, mocht hij de database kunnen bereiken dan update hij iedere paar minuten de firewall regels voor het geval er nieuwe zijn.

Indien gewenst wil ik best even in 1 a 2 uurtjes de basis opzet voor je doen als je hardware ervoor beschikbaar steld (basis install van Debian (net install incl. OpenSSH-server) is voldoende svp wel voor de tijd even doen). De database server kan gewoon bij op een webserver (zolang hij maar via http of https een bestand vanaf die omgeving kan downloaden). De DROP lijst van gebruiken wij sinds kort hier ook bij (deze gebruiken wij om verkeer naar bepaalde poorten te blokkeren).

Onze leverancier levert de ranges die we hebben bij ons af op de firewalls en die zijn bij naast de firewalls tevens de "routers" met een paar static routes.

Ik zelf maak gebruik van OpenBSD met pf firewall. Werkt perfect is goed en stabiel. Maar ieder ze eigen manier uiteraard.