In vielen Fällen ist es am schönsten für die erste Firewall eine Hardware Appliance zu benutzen. Diese ist dann unabhängig von der restlichen Infrastruktur und bietet zusätzlichen Schutz vor Angreifern. Aber was für eine Hardware nehme ich an dieser Stelle am besten?
Ihr müsst darüber nachdenken das über diese Firewall / Router euer gesamter Internet Traffic läuft und dieser bearbeitet werden muss und meistens durch die CPU fließt. Aber kein Sorge, super viel CPU Power ist nicht nötig.
HIER findest du auch einen Vergleich der 3 Besten Barebone Appliances
Hier noch ein Vergleich für 2024.
## April 2024 Update ## – Ich habe neben den anderen hier toll aufgeführten Produkten eins gefunden, was wirklich alles doppelt abdeckt und den Hardwareanforderungen von so gut wie allem abdeckt. Schaut euch bitte dringend dieses Modell hier an. 2 x NVMe, 2 x SATA, 2 x DDR5… Schaut es euch an.
- HUNSN RJ42 equipped with intel gen 12th alder lake-n n100 processor, compatible with many freebsd based router systems, linux distros, or win.os supported, easy configuration and management, support intel aes new instructions
Erste technische Überlegungen
Bevor ich dir jetzt hier Hardware vor die Nase werfe, überlege zunächst was deine Anforderungen sind und was du genau vor hast. Ist das Gerät für dich Zuhause als Homelab? Wieviele Ports brauchst du eigentlich? Möchtest du LACP Channel etc. einsetzen?
Möchtest du zusätzliche Software Stacks auf der Firewall laufen lassen? Zum Beispiel der Einsatz von pfBlocker oder Squid braucht einfach zusätzlich Power.
Noch ein kleine weitere Überlegung. Muss es wirklich eine dedizierte Hardware Firewall sein oder kannst du diese auch virtualisieren mit Hilfe von Proxmox oder ähnlichen Hypervisitoren?
OPNsense / pfSense Hardware Empfehlung
Die Hardware Appliance’s von HUNSN sind einfach die beste Symbiose zwischen Performance, Preis-/Leistung und Anforderung an eure Hardware.
Wir bekommen hier einen aktuellen Intel N100 Prozessor mit 4 Kernen und 3.4 GHz Taktrate. Und dabei ist der Prozessor mit 6 Watt TDP angegeben. Der Stromverbrauch wird uns also nicht auffressen. Die Kiste bringt ebenfalls schon DDR5 mit einem Takt von 5800 MT/s mit.
Bei den Netzwerkports bekommen wir 4 x 2.5GbE I226-V geliefert und haben somit in Summe 10 Gbit/s reines Ethernet. Also genug Ports für ein WAN Load-Balancing und ein Channeling in Richtung Switches des Homelabs.
Mit den Verfügbaren USB und den HDMI / Display Ports hat man sogar eine einfache Anbindung für die Konsole. Also ist die Administration und Wartung direkt am System einfach gegeben.
Dieses Geräte können natürlich auch so in Unternehmen eingesetzt werden.
Gibt es noch bessere und schnellere Appliances?
| Vorschau | Produkt | Bewertung | Preis | |
|---|---|---|---|---|
|
Micro Firewall Appliance, Mini PC, pFsense Plus, Mikrotik, OPNsense, VPN, Router PC, Intel Core I7… | 540,99 EUR | Bei Amazon ansehen |
Natürlich gibt es auch Appliances mit noch stärkeren CPUs, welche für höhere Anforderungen genommen werden sollten. Diese eigenen sich dann schon größere Unternehmen oder Zweigstellen. Mit 16GB DDR5 RAM ist auch diese Anforderung voll erfüllt und wird euch nicht ausbremsen.
Tipps und Tricks
Ich habe einen weiteren Blogbeitrag in welchem erklärt wird wie Ihr diese Appliances optimiert und nochmal einiges an Abwärme und Strom spart.
Firewall Appliance – Temperatur und Stromverbrauch senken
5. September 2023 um 10:22 Uhr
Hi, wie währe es mit dem “PICOPC Mini Firewall Micro Appliance/Mini PC/Firewall Router Intel N6005 3 LAN 2.5GbE 10Gig SFP+ Mini Security Gateway with 16GB RAM 128GB Memory 1TB NVMe WiFi6”
Hat 3x 2.5GbE RJ45 und 2x 10Gig SFP+ Ports.
Gibt paar YT reviews darüber.
7. September 2023 um 12:38 Uhr
Die R86S Hardware ist auch sehr gut für OPNsense. Sie hat 3x 2.5Gb Interfaces und es gibt Modelle mit zusätzlich 2x 10Gb SFP+ ports. SFP+ funktioniert einwandfrei mit meinem ISP der 10/10 Gbit/sec anbietet.
The R86S Hardware Overview: https://www.servethehome.com/the-gowin-r86s-revolution-low-power-2-5gbe-and-10gbe-intel-nvidia/
Kaufen kann man sie bei AliExpress, z.B. hier: https://de.aliexpress.com/item/1005005713318094.html
um die SFP+ ports zu aktivieren, muss der boot loader modifiziert werden: https://forum.opnsense.org/index.php?topic=31705.0
das Built-in Wifi-Module brachten wir nicht zum laufen, das hat aber in einer Firewall auch nichts zu suchen, daher würde ich zukünftig ein Modell ohne Wifi bestellen.
8. September 2023 um 08:58 Uhr
Hier gibt es eine Übersicht der Modelle:
https://m.media-amazon.com/images/I/81n4i+lLqoL._AC_SL1500_.jpg