Was ist eine Firewall?

Eine Firewall ist eine Netzeinheit, die einem Server vorgeschaltet ist. Die Firewall blockiert unerwünschten Datenverkehr von einem Server, bevor der Server erreicht wird.

Warum eine Firewall verwenden?

Der Hauptvorteil einer Firewall besteht darin, dass Ihr Server nur "guten" Datenverkehr verarbeitet. Dies bedeutet, dass Ihre Ressource ausschließlich für den vorgesehenen Zweck verwendet wird und nicht auch noch unerwünschten Datenverkehr bewältigt.

Welche Firewallprodukte bietet IBM an?

Einen detaillierten Vergleich aller angebotenen Firewall-Produkte finden Sie in Firewalls im Überblick.

Ist die Hardware Firewall mit den Produkten zum Lastausgleich von IBM kompatibel?

Ja. Die Hardware Firewall ist mit dem Cloud-Load-Balancing-Service, dem lokalen Load Balancer sowie Citrix Netscaler VPX und MPX kompatibel.

Können portierbare IP-Adressen durch die Hardware Firewall geschützt werden?

Anzahl Portierbare IPs sind nicht für den Schutz verfügbar, da sie zwischen Servern verschoben werden können. Ausnahmen werden von Fall zu Fall gemacht, da es zahlreiche Vorbehalte gibt und mehr Details über den Systementwurf des Kunden erforderlich sind.

Kann ich eine Hardware Firewall und ein Netzgateway mit demselben VLAN verbinden?

Nein, es ist nicht möglich, ein Hardware Firewall und ein Netzwerk-Gateway-Gerät zu haben, die demselben VLAN zugeordnet sind. Die erweiterten Funktionen des Netzwerk-Gateway-Geräts bieten Firewall-Funktionen für Ihr Netzwerk anstelle einer Standard-Firewall.

Fließt der öffentliche Datenverkehr zuerst durch die Einrichtung für den Lastausgleich oder die Hardware Firewall?

Aus dem öffentlichen Internet werden zunächst die Produkte zum Lastausgleich angeboten. Die Produkte von Hardware Firewall sind die nächsten, und die Produkte von NetScaler sind die letzten (zusammen mit den Servern der Kunden).

Muss die Uplink-Port-Geschwindigkeit eines Servers mit der Hardware Firewall übereinstimmen?

Die Hardware Firewall muss der öffentlichen Uplink-Geschwindigkeit des Servers entsprechen. Da sie jedoch nur die öffentliche Seite des Netzes schützt, muss die Geschwindigkeit des öffentlichen Uplinks mit der Auswahl der Firewall übereinstimmen. Die Kunden können einen Antrag auf Herabstufung nur der öffentlichen Schnittstellen stellen, wenn sie dies wünschen.

Berechnet IBM Cloud für die Firewall-Bandbreite eine Gebühr?

Die Hardware Firewall und FortiGate Security Appliance ( FSA ) 1G werden nicht nach Bandbreite gemessen. FSA 10G für die Firewall-Bandbreite berechnet, sobald 20 TB verbraucht sind. Außerdem können diese Produkte die gesamte Bandbreitennutzung reduzieren, indem sie den Datenverkehr begrenzen, auf den die Server reagieren müssen.

Wie aktualisiere ich den Uplink meiner Hardware Firewall?

Die Hardware Firewall ist mit der öffentlichen Uplink-Port-Geschwindigkeit eines Servers verbunden. Sie können ein Upgrade durchführen, indem Sie die Firewall inaktivieren, die Portgeschwindigkeit für den Server erhöhen und eine neue Firewall bestellen. Alternativ können Sie auch einen neuen Server mit den gewünschten Uplinks und der zugehörigen Firewall einrichten.

Gibt es für die Hardware Firewall eine Hochverfügbarkeit?

Anzahl Die Hardware-Firewall-Plattform ist auf Unternehmen abgestimmt und sehr dauerhaft, aber echte Hochverfügbarkeit (redundante Geräte) ist keine Option für die Hardware-Firewall. Für HA ist eine Hardware Firewall (High Availability) oder FortiGate Security Appliance (High Availability) erforderlich. Das Netzgateway-Produkt hat auch eine HA-Option mit Firewallfunktionalitäten.

Auf einem IBM Cloud-Server wird ein Hypervisor ausgeführt. Werden die virtuellen Maschinen, die auf meinem Hypervisor laufen, durch Hardware Firewall geschützt?

Anzahl Portierbare IPs werden für die VMs in einer Hypervisor-Umgebung verwendet und portierbare IPs werden nicht durch die Hardware-Firewall geschützt. Es wird eine FortiGate-Sicherheitsappliance empfohlen.

Welche Ports sind in meiner Windows-Firewall nicht verfügbar?

IBM Cloud bietet viele verschiedene Dienste, die Sie mit Ihrem Server nutzen können, darunter EVault, SNMP und Nagios. Diese Services erfordern, dass unsere internen Systeme zu einem gewissen Grad mit Ihrem Server kommunizieren. Die nicht verfügbaren Ports, die Sie in der Liste der Ausnahmen sehen, sind Ports, die nur auf dem internen Netzwerkport offen sind. Sie sind weiterhin über die öffentliche (Internet-)Netzverbindung blockiert. Da das interne Netz ein gesichertes Netz ist, wird das Öffnen dieser Ports als sicher angenommen.

Diese Ports können in der Regel nicht geändert werden. Wenn Sie jedoch die Firewallregeln zurücksetzen, werden die Ports aus der Ausnahmeliste gelöscht. Beachten Sie, dass das Zurücksetzen der Firewall-Regeln nicht nur negative Auswirkungen auf diese zusätzlichen Dienste haben kann, sondern auch andere Probleme mit Ihrem Server verursachen kann (je nach seiner aktuellen Konfiguration).

Welche Hardware-Firewall-Optionen sind für 10-Gbps-Server verfügbar?

FSA 10G ist die einzige Option, die 10-Gbit/s-Server sowohl für öffentlichen als auch für privaten Datenverkehr unterstützt. Wenn 10 Gbit/s nur im privaten Netzwerk benötigt werden (für Datenbank, Backup, Speicherung usw.), können Kunden ein Downgrade nur für ihre öffentlichen Uplinks beantragen und eines der Produkte von Hardware Firewall bestellen.

Welche IP-Bereiche sind für die Firewall zulässig?

Eine Liste der IP-Adressen und IP-Bereiche, die von der Firewall zugelassen werden sollen, finden Sie hier.

Welche VPN-Optionen sind in jedem Firewall-Produkt enthalten?

Nicht alle Firewalls bieten VPN an und nicht alle VPN-Optionen sind identisch. Die allgemeinen Optionen für VPN lauten:

• Jeder Kunde erhält uneingeschränkte SSL-VPN-Verbindungen zu unserem privaten Netz. Diese Verbindungen können hergestellt werden, indem Sie auf den VPN-Link klicken, während Sie an der IBM Cloud-Konsole angemeldet sind.
• IBM Cloud bietet auch einen einfachen Multi-Tenant-IPsec-VPN-Service.
• Die FortiGate Security Appliance 1G bietet SSL- und IPSecVPN-Optionen ausschließlich mit Zugriff auf das öffentliche Netz (kein Zugriff auf das private IBM Cloud-Netz). FSA 10G bietet SSL- und IPSecVPN-Optionen mit Zugriff auf das öffentliche oder nicht öffentliche Netz.
• Das Netzwerk-Gateway bietet SSL-, IPsec- und OpenVPN-Funktionen für das öffentliche oder private Netzwerk
• Die NetScaler-Produkte können SSL und IPSecVPN im öffentlichen oder privaten Netz bereitstellen.
• Kunden können in ihrer IBM Cloud-Umgebung auch eine VPN-Lösung auf einem Server bereitstellen.

Welche Firewall-Produkte unterstützen Public-to-Private-NAT, private VLAN-Segmentierung oder beides?

Fortigate Security Appliance 10G unterstützt NAT sowie die Segmentierung privater VLANs. Die anderen Firewall-Angebote unterstützen nur den öffentlichen Verkehr.