=====Firewallauswahl=====
Um Netzwerke sinnvoll zu verbinden setzt man Router ein. Sobald man hier gezielt in den Datenverkehr eingreift //nennt// man den Router meist Firewall. Für eine echte Firewall bräuchte man ein umfassendes Sicherheitskonzept, bei dem das Gerät nur eine Komponente ist. In diesen Beschreibungen werde ich, wie es meist gebräuchlich ist, mit Firewall nur ein Gerät mit passender Software bezeichnen.
====Auswahl====
Router können Markengeräte, wie von Bintec oder Cisco, sein oder aber eine Softwarelösung auf Standardhardware. Jenseits einer Schulung wird man den Router auf einer geeigneten Serverhardware installieren.


Mehrere Jahre bin ich mit Firewalls in zwei Niederlassungen auf Debian-Basis mit dem iptables-Frontend Shorewall sowie den üblichen Diensten wie dnsmaq, squid usw. gut gefahren. Der Einsatz setzt allerdings gute Linuxkenntnisse voraus, auch wenn man "nur" die Firewall konfigurieren möchte. Um eine bessere Wartbarkeit auch für weitere Personen zu ermöglichen, werde ich im Laufe des nächsten Schuljahrs auf **[[https://opnsense.org/|OPNsense]]** umsteigen, das z.B. auch von [[https://www.linuxmuster.net|linuxmuster.net]] und [[https://schulnetzkonzept.de|schulnetzkonzept.de]] verwendet wird und den [[https://opnsense.org/about/about-opnsense/|Open-Source-Gedanken]] ernst nimmt. Natürlich kann ich dabei alle gelernten Konzepte weiterverwenden :-).

====Entscheidungsmatrix für Router====
|                                 ^ Markengerät (Appliance):                                                  ^ Firewalldistribution                             ^ Eigene Softwarelösung:                  ^
^ Beispiel                        | //Bintec-Router//                                                         | //OPNsense//                                     | //Debian mit Shorewall, dnsmasq usw.//  |
^ schickes Äußeres, Beschriftung  | Klarer Aufbau eines betriebsbereiten, beschrifteten kommerziellen Geräts  | Eigenverantwortung, aber möglich                 | Eigenverantwortung, aber möglich        |
^ Einheitliche Oberfläche         | ja (Browser)                                                              | ja (Browser)                                     | Konfigurationsdateien                   |
^ Energieverbrauch                | optimal                                                                   | i.d.R. überdimensioniert                         | i.d.R. überdimensioniert                |
^ Flexibilität / Universalität    | exakt die gekauften Optionen                                              | große Auswahl                                    | unbeschränkt                            |
^ Professioneller Support         | möglich                                                                   | evtl. möglich                                    | nein                                    |
^ Virtualisierbar                 | nein                                                                      | ja                                               | ja                                      |
^ Preis                           | hoch                                                                      | niedrig                                          | niedrig                                 |
| Entscheidung                    | nicht mein Ding                                                           | zukünftige, meiner Meinung nach optimale Lösung  | bisherige Lösung                        |

Eine Besonderheit ist bspw. eine gekaufte Appliance mit OPNsense aus einer [[https://www.deciso.com/|Hand]]. Hier kommen viele Vorteile zusammen.
====Dienste====
In der Praxis übernimmt ein Firewall-Gerät mehr Aufgaben als nur IP-Routing mit einem Regelsatz:
  * DHCP (dynamisch & fix)
  * DNS (Intranet) + DNS-Proxy (Internet)
  * [[NTP]]-Server
  * ggf. Web-Proxy
  * ggf. auch [[reverse_proxy]]

{{tag>Firewall OPNsense Shorewall Appliance}}