You're not connected to the Internet.

Firewalls

A firewall is a part of a computer system or network that is designed to block unauthorized access while permitting authorized communications. It is a device or set of devices that is configured to permit or deny network transmissions based upon a set of rules and other criteria.
Firewalls can be implemented in either hardware or software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which inspects each message and blocks those that do not meet the specified security criteria.
more

Discussion about Firewalls

User Anonymous

Firewall <-> Router

Guten Tag die EXPERTEN

Ich möchte gerne wissen was der Unterschied zwischen Firewall und Router ist. Ist eine Firewall gleichzeitig auch ein Router? Ein Router ist ja oft auch gleichzeitig eine Firewall. Die meisten Firewall bieten ja auch NAT an was ja fürs Routing ist zudem bieten Firewalls auch OSPF etc. andere Routingsprotkolle an. Also ist es doch auch ein Router?

Die Firewall distribution PfSense kann man alles mögliche an Einstellungen vornehmen (NAT, OSPF...) obwohl es eine Firewall ist und kein Router steht ja bei Wikipedia auch so.

Macht es Sinn überhaupt einen Router und eine Firewall zu kaufen?

Dank fürs klären der Fragen.


Gruss
Nicolas

13.10.2015
35 posts
Report abuse

You must log in to report an abuse.

User DavidRappl

Wenn du eine Gbit Anbindung hast, kann es durchaus Sinn machen, die Firewall separat zu kaufen. SFP Router (Consumer Bereich) kriegen meist nicht 1 Gbit durch, wenn gleichzeitig die einzelnen Pakete von der Firewall überprüft werden müssen.

13.10.2015
Report abuse

You must log in to report an abuse.

User DavidRappl

Kurzer Nachtrag: Die Hersteller geben z.T. den Durchsatz mit und ohne Firewall in den Produktinformationen an. Oft wirst du dann sehen, dass der Router zwar 1Gbit kann und auch durchkriegt, aber nur ohne aktive Firewall. Mit dieser aktiv wirst du meist auf 2/3 der Geschwindigkeit kommen.

13.10.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Danke für deine Nachricht.

Zur ersten Nachricht:

SFP ist ja mit GIBICs mit Fiberanschluss. Das habe ich nicht und macht im privaten Bereich glaube noch wenig Sinn oder?

Zweiten Nachricht:

Also verstehe ich das richtig das es mehr Sinn macht Router und auch eine Firewall separat zu kaufen? Ist es den Möglich auch nur eine Firewall zu kaufen und keinen Router? Den in der Firewall ist der Router inbegriffen oder wie oben Erklärt kann ja die PfSense gleichzeitig auch Routen obwohl die PfSense ja eigentlich eine Firewall Distrubution ist.

14.10.2015
Report abuse

You must log in to report an abuse.

User Fears313

Die Frage ist immer, für welchen Anwendungsfall. Herkömmliche Geräte vereinen Modem, Router und Firewall. Theoretisch kannst du alles trennen. Wenn du lust zum basteln hast, empfehle ich dir wärmstens, einen alten Rechner zu packen, min. 2 Netzwerkkarten und pfsense oder ipfire zu installieren und den Modem/Router vom Provider nur noch Modem sein lassen.

14.10.2015
Report abuse

You must log in to report an abuse.

User abakuki

Die meisten FIrewalls können auch routen. Eine Firewall per se ist bloss ein Paketfilter aber eben, wird oft kombiniert. Wichtigste Kriterien für den Stateful Inspection Durchsatz sind die CPU und die Netzwerkkarte, bei pfSense sollten es Intel NICs sein (Interrupts!). Wirespeed mit 1Gbit/s kriegst du mit heutigen CPUs problemlos hin, problematisch wirds bei VPNs und irgendwelchen IDS/Addon-packages.

14.10.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Gleich zu beginn eine ganz andere Frage:
Wo liegen die unterschiede zwischen der Firewall Art: stateFUL inspection firewall, stateLESS inspection firewall und Deep Packet Intrusion?

Zu Fears313 also heisst das meisten Firewalls sind auch gleichzeitig Router und können gleichzeitig die gleichen Funktionen wie ein Router übernehmen? Ich möchte halt lernen dazu möchte ich eine richtige Hardware-Firewall kaufen um zu sehen wie das Funktioniert. Die interne ZyXEL Firewall des Routers ist unbrauchbar.

Achso, gute idee einen normalen PC als Firewall zu nutzen nur brauche ich dazu noch NICs...

22.10.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Da mir die Zeichen ausgingen: Weiter zu Fears313, ich überlege mir eher so eine kleine Box zu kaufen mit der Grösse eines Routers damit ich nicht zuviel Platz benötige...

Zu abakuki du sagst Firewalls sind Paketfilter aber es gibt ja Firewalls die auch mit SPI arbeiten oder Firewall mit SSA oder UTM Firewalls? Was sind den IDS/Addons-packages? Beim Ziel ist es in Zukunft mittels IPsec zwei Standorte zu verbinden deshalb sollte die Firewall auch das hinbekommen und genug Traffic verarbeiten können.

22.10.2015
Report abuse

You must log in to report an abuse.

User abakuki

SPI ist standard, SSA/UTM sind buzzwords. IDS ist intrusion detection, also Analyse/Korrelation von Angriffen mittels Signaturen usw. Was in deinem Fall wirklich an der CPU saugen wird sind VPNs, bei IPSEC AES256-CBC kannst du pro Thread (xeon 25xxx) bei pfsense mit ca 300-500Mbit/s pro tunnel und thread rechnen, das ist nota-bene mehr als jede mittelgrosse Zywall/Cisco ASA ohne ASIC. Intel AES-NI crypto accelleration auf freebsd (pfsense) bringt aus meiner Erfahrung nix. Dedizierte Linux VPN Kisten (mit AES-CGM) sind da effizienter. Setz einfach zwei billige Kompis mit Intel NICs in HA auf.

22.10.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Wo liegen die Unterschiede zwischen der Firewall Art: stateFUL inspection firewall, stateLESS inspection firewall und Deep Packet Intrusion?
Was meinst du mit der Bezeichnung: "buzzwords"? Wie meinst du das mit pro Thread 300-500 MBit/s. Du scheinst viel zu wissen. Ich weiss, dass Prozessoren in Kerne und virtuelle Prozessoren unterteilt sind auch das es Prozesse gibt und die Prozesse haben Threads die Threads wiederrum Handles. Wo liegen die ganzen Unterschiede? Was hat der Datendurchsatz mit Prozessor zu tun?
Wieso zwei Kompis? Eine Firewall reicht doch oder? PfSense ist nicht gut?

26.10.2015
Report abuse

You must log in to report an abuse.

User abakuki

Stateful merkt sich die connections, stateless nicht (stateful = sicherer, hast mit der identischen Hardware jedoch niedrigeren Durchsatz bzw, saugt mehr am RAM). Ein thread=1 core, wenn du also 4 cores hast mit je 300-500Mbit/s Durchsatz bringst du mit vier VPN Tunnel total 1200Mbit/s-2000Mb/s durch, vorausgesetzt deine NIC ist in 802.3ad WAN oder 10Gbit/s etc. Mit 2 Kompis meinte ich: Anstatt eine superteuere Firewall mit zwei Netzteilen u.ä. zu kaufen kann du mit zwei billigen Kompis ein stabiles Failover mit pfSense haben. pfSense rulez im >1Gbit/s Bereich, bei >1Gbit/s sind ASICs King.

26.10.2015
Report abuse

You must log in to report an abuse.

User abakuki

Stateful merkt sich die connections, stateless nicht (stateful = sicherer, hast mit der identischen Hardware jedoch niedrigeren Durchsatz bzw, saugt mehr am RAM). Ein thread=1 core, wenn du also 4 cores hast mit je 300-500Mbit/s Durchsatz bringst du mit vier VPN Tunnel total 1200Mbit/s-2000Mb/s durch, vorausgesetzt deine NIC ist in 802.3ad WAN oder 10Gbit/s etc. Mit 2 Kompis meinte ich: Anstatt eine superteuere Firewall mit zwei Netzteilen u.ä. zu kaufen kann du mit zwei billigen Kompis ein stabiles Failover mit pfSense haben. pfSense rulez im >1Gbit/s Bereich, bei >1Gbit/s sind ASICs King.

26.10.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Was ist ASICs? Also wenn ich meinen Task-Manager öffne sind aktuell 1312 Threads offen dabei habe ich nur einen Prozessor mit 4 Logischen Prozessoren (core's). Also kann das doch mit einem Thread = 1 Cores nicht sein oder versteh ich da etwas falsch?

03.11.2015
Report abuse

You must log in to report an abuse.

User Anonymous

Nochmals bezüglich StateFULL und StateLESS. Stateless verzeichtet auf eine "dynamische Zustandstabelle" oder? Aber das macht doch gerade die Technik SPI aus ohne Zustandstabelle ist es ja mehr oder weniger nur ein Paketfilter?

03.11.2015
Report abuse

You must log in to report an abuse.

User abakuki

Yo ein IPSEC wird dir mit entsprechender Bandbreite den Core 'füllen'. Klar du kannst zig-tausende Threads haben (wie jedes OS), die saugen allerdings kaum am Prozi/Interrupts, IPSEC (vorausgesetzt Bandbreite/NICs vorhanden) und jede andere CPU intensive Applikation (Bitcoin, Seti@home etc.) ziehen das Maximum von der CPU heraus. Es gibt Tricks wie AES-NI und AES GCM etc. um das zu beschleunigen aber das ist ein anderes Thema. Zum 2. Punkt: Korrekt, stateless hat keine 'Zustandstabelle', kein connection tracking und entsprechend anfälliger auf egress/ingress Angriffe.

03.11.2015
Report abuse

You must log in to report an abuse.

Please log in to add a post to this discussion.