10G mit XG Home ohne IPS und co.

Hallo zusammen,

 

ich weiß, dass es solche Fragen mit Sicherheit zuhauf gibt. Trotzdem bin ich so frech und frage nach :)

 

Mein IST-Zustand:

Ich habe bei mir zwischen EG und OG per Glasfaser und 10G-Switches per LAG eine 30G-Verbindung aufgebaut, auf der zur Zeit 7 VLANs (künftig mehr) laufen. Als Routing- / Firewall-Device werde ich nun (kostenbedingt) eine Software-Appliance aufbauen. Zur Auswahl stehen die Sophos Home-Derivate und pfsense.

Die UTM scheidet (leider) auf Grund der IP-Limitierung für mich aus. Daher bleiben die XG und die pfsense übrig.

Potentiell würde ich die XG präferieren, kommt aber mit drauf an, ob ich einen ausreichenden Durchsatz hinbekomme.

Erfahrung habe ich weder mit der Sophos noch mit der pfsense, bin aber Netzwerker und arbeite mit Geräten diverser Hersteller (Fortinet, Juniper, Cisco, etc.)

 

UTM ist kein Must-Have für mich. Das wichtigste für mich sind ein paar Firewall-Regeln und möglichst hoher Throughput.

Internet-Ausstieg wird vermutlich noch in diesem Jahr auf Glasfaser mit bis zu 1G umgestellt, ggf. kommt da eine Fortigate NFR vor den Ausstieg, das wird sich noch zeigen.

 

Ich habe heute im Vorfeld einmal die UTM, die XG und die pfsense als VM auf einem Notebook (i7-4700MQ) mit Virtualbox (2Cores, 4GB RAM) angeworfen um mir die GUIs anzusehen. Dabei ist mir auch aufgefallen, dass die pfsense und die UTM (natürlich ohne Workload) bei ca. 1% CPU und 5% RAM "rumgedümpelt" sind. Die XG war bei ca. 10% CPU und 25% RAM. Ist die XG tatsächlich so "hungrig"?

 

Folgendes System habe ich mir jetzt (zum Eigenbau) bestellt:

Intel Core i3 8100

8GB RAM ==> ich weiß, dass nur 6GB genutzt werden

240GB SSD

10G Dual-Port Netzwerkkarte mit Intel 82599ES-Chip

On-Board Intel i219v-NIC

 

Laut Datenblatt hat die XG210 bei "schlechterer" CPU einen Durchsatz von ca. 14GBit/s

Werde ich so in die Richtung 10 GBit/s kommen?

Und wäre mit Hypervisor als "Grundgerüst" besser oder direkt aufs Blech (beides wäre für mich möglich) ?

 

Zum Abschluss: Ja ich bin ein Privatmann und ja haltet mich ruhig für einen Spinner :)

 

Danke und Gruß

Sebastian

  • Hallo,

     

    Firewall als Router einzusetzen ist mit Sicherheit keine optimale Lösung. Firewall soll den Perimeter schützen und dein Perimeter braucht längst keine 10GBit/s. Was willst Du mit deinem Setup eigentlich erreichen?

     

    Gruß,

    Nihad

  • In reply to RainMan730:

    Hallo,

    Die Firewall soll in diesem Fall die Kommunikation zwischen den einzelnen VLANs regeln und wie geschrieben soll nicht ausschließlich gerouted werden sondern auch geringfügig (nur eine Handvoll Rules mit den notwendigen Kommunikationen) reglementiert.

    Für die Kommunikation ins I-Net wird in der nächsten Zeit vermutlich noch eine Hardware-Appliance dazukommen, die als Perimeter-Firewall fungiert, ggf. mit UTM-Anteil für das Gast-VLAN, das wird sich dann aber noch zeigen / regeln.

    UTM im internen Netz macht aus meiner Sicht nur in den seltensten Fällen Sinn. Für meine Zwecke reicht es ein paar Regeln zu implementieren ohne UTM.

    Gruß

    Sebastian

  • In reply to Sebastian Borchers1:

    In Deinem Szenario wäre ein Layer 3 Switch mit ACLs deutlich effektiver.

    Ich bezweifle stark, dass der Durchsatz von 10GBit/s mit der genannten Hardware und Restriktionen in Home Edition erreicht werden kann.  Ich glaube kaum das jemand die Home Edition in einem vergleichbaren Szenario schon getestet hat. Damit bleibt Dir wahrscheinlich nur die Option es selbst zu testen und hier zu berichten

    Ich nutze XG Firewall im HomeLab als VM Appliance für die Kommunikation mit Internet, Schutz des Home Netzwerks und Segmentierung mehrerer DMZs. An der Stelle nutze ich fast alle Features die das Next Gen Firewall bietet und finde es genial, vor allem weil es kostenlos ist und bietet alle Enterprise Features