Leistungsmerkmale professioneller Firewall-Lösungen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Leistungsmerkmale einer professionellen Firewall-Lösung

Netzwerk- und Paketfilter

  • Stateful Packet Inspection (SPI)
  • Zonen- oder Interface-basierte Regeln
  • Unterstützung für IPv4 und IPv6
  • Granulare L3/L4-Filterung (IP, Port, Protokoll)
  • Zeitbasierte Regeln
  • Vollständiges Logging mit eindeutigen Regel-IDs

NAT, Routing und Segmentierung

  • Source- und Destination-NAT
  • 1:1 NAT, Port-Forwarding, Hairpin-NAT
  • Policy-Based Routing (PBR)
  • Dynamische und statische Routingtabellen
  • VLAN-Unterstützung
  • Netzsegmentierung über Interfaces oder Bridging
  • VRRP oder ähnliche HA-Mechanismen

Hochverfügbarkeit

  • Active-Passive oder Active-Active Cluster
  • Synchronisation des Connection Trackings
  • Automatisches Failover
  • Virtuelle gemeinsame IP-Adressen
  • Cluster-Monitoring

VPN-Funktionen

  • IPsec (insbesondere IKEv2)
  • SSL-VPN / TLS-VPN
  • Site-to-Site und Road-Warrior
  • Zertifikatsbasierte Authentifizierung
  • Integration in LDAP, AD, RADIUS oder SAML

Authentifizierung und Benutzerverwaltung

  • Lokale Benutzergruppen
  • AD-/LDAP-Anbindung
  • 2-Faktor-Authentifizierung (TOTP, Hardware-Token)
  • Captive Portal

Application-Level Security

  • Deep Packet Inspection
  • Application Control
  • Intrusion Detection (IDS) und Intrusion Prevention (IPS)
  • TLS-Inspection optional
  • GeoIP-Filterung

Monitoring, Logging und Reporting

  • Vollständiges Paket- und Ereignislogging
  • Export an Syslog, Graylog, ELK, Splunk
  • Dashboards für Traffic, Sessions und VPN
  • Revisionssichere Konfigurationshistorie
  • Alarmierung bei Angriffen und Störungen

Management und Betrieb

  • Zentrale Web-GUI
  • API (REST) zur Automatisierung
  • Rollen- und Rechtekonzept (RBAC)
  • Backup/Restore
  • Konfigurationsversionierung
  • Zero-Touch Provisioning

Performance und Hardware

  • Multicore-Unterstützung
  • AES-NI / Crypto-Offloading
  • Durchsatzangaben für FW, VPN, IPS
  • Fail-Open/Fail-Close-Modi
  • 10G/25G/40G/100G-Unterstützung

Sicherheit und Compliance

  • Signierte Firmware
  • Regelmäßige Sicherheitsupdates
  • Konfigurationsvalidierung
  • BSI-/FIPS-/Common-Criteria-Optionen je nach Produkt
Abgerufen von „http://wiki.ixheim.de/index.php?title=Leistungsmerkmale_professioneller_Firewall-Lösungen&oldid=65851