PDA

Bekijk Volledige Versie : hardwarematige firewall -> zinvol?



easy2host
31/08/04, 18:41
Ik ben me momenteel aan het orieenteren voor een hardware matige firewall, maar vraag we eigenlijk af welke toegevoegde waarde dit nou heeft en of het echt zinvol is.

Wat doet een hardwarematige beter dan een software matige? en met welke hebben jullie goeie ervaringen? houdt hij alleen port scans etc tegen of doen deze firewalls nog meer?

Graag jullie ervaringen


tevens zit ik te kijken om portsentry op een server te installeren, heeft iemand hier goede ervaringen mee? en is het moeilijk te configureren?

Triloxigen
31/08/04, 19:44
Als een softewarematige firewall iets moet tegenhouden, moet het dus eerst de computer in.
Bij een hardware matige firewall word het dus al voor een server gestopt.
Je kunt hiermee ook veel beter DoS-aanvallen tegen houden.

Mog
31/08/04, 20:02
Origineel geplaatst door Triloxigen
Als een softewarematige firewall iets moet tegenhouden, moet het dus eerst de computer in.
Bij een hardware matige firewall word het dus al voor een server gestopt.
Je kunt hiermee ook veel beter DoS-aanvallen tegen houden.

stel dat je nu dus x86 machines als firewall only machines inricht, wat is dan nog het voordeel van een hardware firewall ?
Je kunt ze immers weer achter je router plaatsen en voor je servers.

Triloxigen
31/08/04, 20:19
Origineel geplaatst door Mog


stel dat je nu dus x86 machines als firewall only machines inricht, wat is dan nog het voordeel van een hardware firewall ?
Je kunt ze immers weer achter je router plaatsen en voor je servers.

Wat wil je nu zeggen :?

Dennis
31/08/04, 20:24
Dat snap ik ook niet echt.

"x86 machine als firewall only machine" komt toch ook neer op een 'hardware firewall'?

Digitux
31/08/04, 20:24
Origineel geplaatst door Mog


stel dat je nu dus x86 machines als firewall only machines inricht, wat is dan nog het voordeel van een hardware firewall ?
Je kunt ze immers weer achter je router plaatsen en voor je servers.

De keuze ligt op het niveau:

Wil ik een firewall op een standaard OS of op een speciaal gehard OS, daarnaast moet jeje afvragen wat voor SOORT firewall wil ik.

Want inprincipe zijn alle firewalls software firewalls.

Wil je dus op applicatie of packet niveau filteren.
Iaw wil je poortjes en IP's of HTTP/FTP etc verkeer filteren.

Of een combi van de 2 (Stateful inspection FW)

Het ligt er dus helemaal aan wat je precies wil, maar een x86 machine speciaal ingericht en goed onderhouden/geupdate is dus eigenlijk het beste van beide.

brambi
01/09/04, 03:52
Origineel geplaatst door Digitux

Want inprincipe zijn alle firewalls software firewalls.


Niet echt. Je hebt firewalls die gebruik maken van ASIC's die de verwerking van de pakketjes op zich nemen. De pakketjes gaan dan niet langs een centrale processor. Of dat een voordeel is is niet altijd duidelijk. Bij relatief lage snelheden heeft een doorsnee processor niet veel moeite om de pakketjes aan volle snelheid te verwerken. Zo heeft Watchguard in zijn x-series de ASIC (waarvoor ze zo'n reclame hebben gemaakt) er opnieuw uitgegooigd en er een stevice pentium III processor in gestoken :p. Netscreen daarentegen blijft volhouden met hun ASIC's. Theoretisch gezien zou je daar lagere latency en hogere doorvoersnelheden mee moeten krijgen. Een nadeel van ASIC's is dat je sommige bug's er niet kan uithalen. Zo kreeg ik een jaartje geleden doodleuk antwoord van een fabrikant van switches dat ze een fout, die ik gemeld had, niet konden oplossen met een software update omdat de fout in hun ASIC zat.

Van de firewalls die ik al ooit gebruikt heb vond ik openbsd pf de beste prijs/kwaliteit hebben. Het enige minpunt vind ik dat openbsd zo tijdrovend is om te installeren en onderhouden. Iptables is uiteraard ook zeer goed maar ik hou van wat diversiteit tussen firewall en servers.

Pix beheer ik ook maar vind ik maar niets om te configureren: de logica is vaak ver zoek. Watchguard heb ik ook getest. Die moet je beheren met een windows applicatie. Zeker niet slecht maar ik geef toch de voorkeur aan een bsd of linux box... er zitten zoveel handige tooltjes is die ik niet kan missen. Uiteraard moet je degelijke hardware hebben en het liefst redundant opstellen.

Digitux
01/09/04, 17:03
Waar ik op doelde was het OS op de firewalls, niet de specifieke packet afhandeling. Maar een mooie uitleg daar niet van :)

Valentino
02/09/04, 00:43
In mijn tijd hadden we FreeSCO, leuk tooltje draaide al op een 386 zonder hdd.