Eigene, kostengünstige Firewall mit offener Software bereitstellen
2Wenn man sich mit der Einführung einer Firewall beschäftigt, begegnet man sehr schnell den üblichen Verdächtigen: Astaro, Cisco, Juniper, Checkpoint, Barracuda uvm. Dabei stellt sich wie so oft die Frage:
Ein Komplettpaket bestehend aus Hard- und Software kaufen oder doch eine eigene Lösung mit offener Software auf einem Server erstellen?
Ich möchte zeigen, dass letzteres einfacher ist als vielleicht gedacht. Zuerst zur Auswahl einer entsprechenden Firewall Software auf Open Source Basis:
- pfSense – Das wohl bekannteste Projekt (sehr umfangreich)
- OPNsense
- Selection and Sizing
- Endian – Basiert auf Debian mit grafischer Oberfläche
- IPcop – Etwas älter, aber gut für SOHO Bereich geeignet
Nun zur Hardware-Seite bzw. wie ein Server für eine Firewall dimensioniert sein sollte: Eigentlich extrem simpel! Möglichst viele Netzwerkkarten (hierbei auf die HE des Servers achten), etwas RAM und eine Durchschnitts-CPU (1x 2,0 GHz Dual-Core). Fertig ist die Firewall. Ansprüche an Hochverfügbarkeit? Einfach den Server mal zwei nehmen und im Vorfeld prüfen, ob die Softwarelösung Hochverfügbarkeit abbilden kann.
Für die Dimensionierung sollten folgende Werte bekannt sein:
- Wie viele gleichzeitige Verbindungen werden von außen (Internet) in das interne Netz hergestellt (=Sessions)
- Mehr oder weniger RAM (je nach Größe des Eintrags einer Session der Software)
Beispiel Dimensionierung einer Firewall für 100 gleichzeitige Sessions:
- 2,0 GHz Dual-Core CPU
- 8GB RAM
- 3 Netzwerkschnittstellen (1 x Internet, 1 x LAN, 1 x Management)
Bei den Lösungen muss noch zwischen Layer 2 und Layer 3 Lösungen unterschieden werden. Mit Layer 3 Lösungen, in Kombination mit Paket Inspection, ist es möglich den Inhalt IP-Paket zu prüfen (bspw. auf SQL Injections). Werden Überlegungen über den Einsatz von IPSec oder VPN (mit OpenVPN) angestellt, so sollte dieser Dienst auf eine separate Hardware ausgelagert werden.
Hallo Hr. Florian Hettenbach,
vielen Dank für diesen Artikel.
Ich suche genau nach solch einer Lösung für unsere Kunden. Wäre es möglich das wir uns dieszbezüglich darüber unterhalten könnten?
Ich suche keinen Partner der mir fertig Produkte liefert, es geht tatsächlich um individuelle werke.
Wäre sehr nett, wenn Sie mit uns Kontakt aufnehmen.
Gruß Adrian
Sehr geehrter Herr Janotta,
vielen Dank für Ihre Anfrage.
Gerne helfen wir Ihnen bei diesem Thema weiter,
einer unserer Mitarbeiter wird Sie diesbezüglich kontaktieren.
Viele Grüße
Ihre Thomas-Krenn.AG