Leistungsstarke UTM Firewall Hardware für freie Firewall-Distributionen
Wie ihr von mir gewohnt seid, bin ich immer wieder auf der Suche nach Hardware die ihr für eure, aber genauso ich selbst, gut für neue Projekte nutzen könnt.
Diesmal war ich auf der Suche nach performanter Hardware für den Betrieb einer Hardware Firewall die für aktuelle Firewall-Distributionen wie zum Beispiel die Lösungen OPNsense, pfsense oder aber die hier im Blog des Öfteren vorgestellte Sophos UTM Firewall sowie Sophos XG Firewall geeignet ist.
Die von euch, die schon öfter meinen Blog besucht haben, wissen ja das ich ein großer Fan des Alix-Boards APU4C4 bin und für diese Hardware (Vorgängermodell) hier schon diverse Beiträge geschrieben habe.
Leider hat dieses Board auch seine Performance-Grenzen, wenn ihr Speicher- oder CPU-Lastige Dienste wie IPS oder IDS nutzen wollt. Gerade bei denen von euch, die glücklicher Besitzer einer schnellen Anbindung an das Internet sind (ab 100 Mbit aufwärts), werden mit diesem Board keine Freude haben, da hier der Durchsatz der Datenmenge rapide abnimmt und das Board vollkommen ausgereizt wird.
Daher habe ich mich auf die Suche gemacht, passende Firewall-Hardware für fast jedes Einsatzszenario für euch zu finden.
Für die Profis unter euch…
Für all diejenigen, die auf der Suche nach performanter Hardware im geschäftlichen sowie privaten ambitionierten Bereich sind, findet ihr meine Vorschläge weiter unten in den Vergleichstabellen. Diese Hardware-Appliance bieten nicht nur hohe Rechenleistung, sondern haben auch die passenden NIC-Ports für die Anbindung an die professionelle Netzwerk-Infrastruktur.
Warum ist bessere UTM Firewall Hardware erforderlich?
Wie schon in der Einleitung von mir erwähnt, ist für manche Szenarien, die Nutzung einer performanten UTM Firewall Hardware Pflicht und daher habe ich mir gedacht, dass ich eine Liste erstelle, an der ihr euch Orientieren könnt.
Diese Liste hat keinen Anspruch auf Vollständigkeit und sollte euch zur Orientierung dienen.
Hardware-Systemvoraussetzungen der Firewall-Distributionen
Bei den von mir weiter unten genannten Erfahrungen zu den einzelnen vorgestellten Distributionen, sind die Nutzung der folgenden Funktionen mit inbegriffen:
IPS/IDS
Nutzung VPN-Dienste
Untersuchung Datenstrom durch Antiviren-Engine
Web Proxy
und natürlich die Basis-Funktionalität
Sophos UTM Home Firewall
Leider gibt es hier meines Wissens keine offiziellen Angaben zu der Mindestanforderung der erforderlichen Hardware von Sophos außer der mindestens 40 GB Festplatte. Daher hier meine Erfahrung zur Mindestanforderung:
Mindestens 60 GB Festplatte
Mindestens 4 GB Arbeitsspeicher
CPU mit AES-NI-Unterstützung
Zwei NIC´s
Sophos XG Home Firewall Edition
Bei der Sophos XG Firewall Home Edition gilt es zu beachten, dass es für diese Firewall-Edition eine Einschränkung für die Nutzung der Hardware-Ressourcen gibt. Diese Einschränkungen belaufen sich wie folgt:
Einschränkungen:
Die Home Edition ist beschränkt auf 4 Cores und 6 GB RAM
Intel-kompatibler Computer mit dualen Netzwerkschnittstellen
Auch wenn ihr eine höherwertige Hardware nutzt, wird diese von dieser Firewall-Edition genutzt.
Meine Erfahrung bezüglich der Performance-Anforderungen an die Hardware für diese Firewall-Edition von Sophos spiegelt sich von der Hardware-Anforderung her, mit den Anforderungen der Sophos UTM Home Edition. Dieses wird auch dadurch deutlich, das Sophos selbst, immer die gleichen Hardware-Appliance für ihre beiden Firewall-Editionen im Business-Segment nutzt.
OPNsense
Bei OPNsense sind die Hardware-Requirements in der Dokumentation gut beschrieben. Wer gerne nachlesen möchte, kann das hier tun.
Aktuell orientiert sich Netgate (Firma hinter pfsense) eher auf den Geschäftskunden-Sektor (gegen Entgelt verfügbar) und benennt die ehemals pfsense-Factory-Edition in pfsense-plus um.
Leider gibt es hierbei nicht nur eine Namensänderung, sondern wird bei der Plus-Edition in Zukunft auf eine andere Codebasis gesetzt und die Entwicklung der Community-Edition auf die Mitglieder dieser verschoben werden.
Die pfsense-Plus-Edition erhält des Weiteren einige exklusive Funktionen, die nicht in die Community-Edition mit einfließen werden.
Die Plus-Edition ist momentan nur auf Netgate-Eigener Hardware verfügbar.
Meine Erfahrung hierfür ist:
Erfahrungsgemäß verhält sich die Hardware-Anforderung gleich der Anforderungen an die der Distribution von OPNsense.
IPFire
Voraussetzungen für den Einsatz der Distribution IPFire sind ähnlich wie bei den anderen hier vorgestellten Distributionen und abhängig von den genutzten Diensten. Daher gilt auch hierfür meine Empfehlung für die Hardware-Mindestanforderungen der OPNsense.
Auswahl der richtigen Firewall-Distribution für euer Vorhaben
Für all diejenigen unter euch, die noch unschlüssig sind, welche UTM Hardware Firewall für euer Projekt in Frage kommen soll, den lege ich meinen Beitrag „Firewall kostenlos“ ans Herz. In diesem Artikel findet ihr eine Übersicht über die gängigsten Firewall-Distributionen, die entweder Open Source oder aber für die private Nutzung kostenlos sind.
Das richtige UTM Firewall Hardware-Setup
Solltest du dir nicht sicher sein, welche Hardware für dein Projekt in Frage kommt, so nutze doch einfach das Frage-Formular und trage hier deine Anforderungen ein. Dieses Formular kannst du dann abschicken und bekommst dann von mir ein Hardware-Setup-Vorschlag für deine Anforderungen zugesendet.
Ich denke, dass dieser Service den einen oder anderen bei seiner Entscheidungsfindung gut unterstützen kann.
Natürlich ist dieser Service vollkommen kostenlos für dich.
UTM Firewall Hardware bis 100 Mbit – Internetanbindung
Die empfohlenen Leistungsempfehlungen beziehen sich immer für die Nutzung einer Firewall-Distribution mit Intrusion Protection System und darin allen aktivierten Regelwerken beziehungsweise Signaturen, da diese Funktionalität am meisten Performance-Hungrig ist.
Bundle
HSIPC Celeron 3855U Firewall Micro Applicance, Fanless PC with 4G RAM 120G SSD Pfsense, OPNsense, AES-NI, 6 RJ45 Ports for Network Security Application
Preistipp
NRG Systems APU4D4 Router/Firewall (lüfterlos) mit 4xLAN, mSATA SSD, pfSense, VPN, DynDNS (120GB, Schwarz)
VARIA Group OPNsense Ready System - APU4D4, 4 GB RAM, 16 GB mSATA SSD-Modul, 19 Rack-Gehäuse
Die empfohlenen Leistungsempfehlungen beziehen sich immer für die Nutzung einer Firewall-Distribution mit Intrusion Protection System und darin allen aktivierten Regelwerken beziehungsweise Signaturen, da diese Funktionalität am meisten Performance-Hungrig ist.
Bundle
Empfehlung
HSIPC Kaby Lake i5 7200U Firewall Micro Applicance, Fanless PC with 8G RAM 120G SSD, 6 RJ45 Ports for Network Security Application, AES-NI, Pfsense, OPNsense
Die empfohlenen Leistungsempfehlungen beziehen sich immer für die Nutzung einer Firewall-Distribution mit Intrusion Protection System und darin allen aktivierten Regelwerken beziehungsweise Signaturen, da diese Funktionalität am meisten Performance-Hungrig ist.
Bundle
Empfehlung
NRG Systems IPU672 Router/Firewall (lüfterlos) mit Intel Core i5-7200U, DDR4 SO-DIMM, 6xLAN, mSATA SSD, 15W TDP (120GB, 16GB RAM)
Die empfohlenen Leistungsempfehlungen beziehen sich immer für die Nutzung einer Firewall-Distribution mit Intrusion Protection System und darin allen aktivierten Regelwerken beziehungsweise Signaturen, da diese Funktionalität am meisten Performance-Hungrig ist.
Bundle
Empfehlung
HSIPC New Kaby Lake i7 7500U Firewall Micro Appliance, Mini PC, Nano PC, Router PC(16G 512G) with 6 RJ45, AES-NI,HDMI USB3.0 COM,Pfsense OPNsense LEDE ESXI Openwrt DPDK Compatible
Ich hoffe dieser Beitrag kann euch ein wenig bei eurer Entscheidung Findung unterstützen.
Bei der von mir erstellten Auswahl sollte für jeden eine passende Hardware dabei sein und hoffentlich gute Dienste bei eurem Projekt erweisen.
Gerne könnt ihr mir auch eure Hardware-Vorschläge für den Einsatz einer Open Source Hardware-Firewall zukommen lassen. Diese Vorschläge könnt ihr mir hier als Kommentar, per Kontaktformular oder aber per E-Mail schicken.
Weiterhin freue ich mich wie immer über ein Feedback von euch und wünsche viel Spaß bei eurer Umsetzung.
Ich bin schon ewig mit der IT verbunden und interessiere mich hauptsächlich für die Themen IT-Sicherheit, Programmierung und Gesellschaft.
Betreibe diesen Blog aus Leidenschaft und setze mich für eine sichere IT-Landschaft ein, um das Recht auf Privatsphäre mit kleinen Mitteln zu schützen.
Freue mich immer über Kommentare von euch und wenn es mir möglich ist, helfe ich gerne.
Diesen Blog Unterstützen
Hat dir dieser Beitrag gefallen?
Dann unterstütze doch diesen Blog durch eine kleine Spende.
Mit deiner Unterstützung ermöglichst du neue Projekte und Tutorials für diesen Blog.
Danke dir!