Zentral administrierbares Desktop/Personal-Firewall

[Muhfragezeichen]

Hallo zusammen,
ich bin auf der Suche nach einem zentral administrierbaren Desktop-Firewall für Linux und Windows XP/7 Systeme bzw einer Lösung zur zentralen Administrierbarkeit von iptables und einer Windows Firewall.
Hat jemand eine Idee wie man soetwas zentral lösen kann?

Gruß
Muh?

 

[derGrimm]

Erstmal:
Wenn du einen router hast, brauchst du eine Software Firewall nur wenn
A: Du ausgehende Verbindungen kontrollieren willst
B: Du im Netzwerk einen nicht "vertrauenswürdigen" Rechner hast

Mit eingehenden Verbindungen aus dem Internet geht der Router sehr gut um.
Hardware Firewall > Software Firewall

 

[rille]

Die Windows-Firewall kannst du in einer Windows-Domäne bequem per Gruppenrichtlinien zentral verwalten.

 

[Muhfragezeichen]

Zur konkreten Aufgabenstellung die ich habe.
Ich habe ein Testnetzwerk welches Komplett von allen anderen Netzwerken abgeschottet ist. In diesem Netzwerk befinden sich schon einige Dienste wie DNS,DHCP und LDAP.
Nun kommt auch noch ein Server mit XEN hinzu mit dem ich nochmal verschiedene Virtuelle Server aufsetze. Nun ist es meine Aufgabe alle Server mit einer Desktop-Firewall auszustatten.
Alle Physischen Server sind mit Linux aufgespielt worden und es sollen evtl. noch Virtuelle Linux und Windows Server und Windows Clients aufgespielt werden.

Das nun alle Virtuellen und Physikalischen Geräte mit dieser Desktop-Firewall ausgestattet werden sollen hängt mit der BSI Richtlinie zusammen. Ob dies nun Praktisch sinn macht in einem Komplett abgeschotteten Netz Desktops-Firewalls einzurichten sei mal dahin gestellt, es ist eine Ausbildungsaufgabe die zur Übung dient.

 

[Atkatla]

Erstmal:
Wenn du einen router hast, brauchst du eine Software Firewall nur wenn
A: Du ausgehende Verbindungen kontrollieren willst
B: Du im Netzwerk einen nicht "vertrauenswürdigen" Rechner hast

Oder wenn eingehende Verbindungen nur aus bestimmten Adddressbereichen zugelassen werden sollen und und und...
Ein home-Router ist keine Firewall. Das NAT des Routers erfüllt wenige Eigenschaften einer Firewall, aber das war es auch schon.

@Muhfragezeichen: Versteh ich das richtig, dass du an einer Stelle z.B. eine Änderung eintragen möchtest, die dann gleichermassen auf iptables und Windows Firewall durchschlagen soll?

Üblicherweise setzte man dann in einem solchen Segment eine richtige Hardwarefirewall ein. Die ist dann der zentrale Anlaufpunkt für die Administration und man muss sicherstellen, dass die Pakete über die Firewall geroutet werden.

 

[Muhfragezeichen]

Wie geschrieben das Netzwerk braucht eig. vor nichts via Firewall abgeschottet werden weil es eh ein abgeschottetes System ist. Ich habe mir den Workflow so vorgestellt:
Ein Tool welches eine Firewall auf Windows und IPtables auf Linux mit einer Art Push ansteuert und die neue Konfiguration auf den Clients ansteuert. Wenn es das nicht so kompakt gibt evtl ein Tool jeweils für die Firewall art.
Das man Server via einer "richtigen" Firewall abschottet, ist mir durchaus klar allerdings sieht die Aufgabe nun halt so aus wie oben beschrieben. Also es sollen Desktop-Firewalls verwendet werden. Sollte ja mit IPtables auf Linux auch möglich sein. Ansonsten würde ich für Linux eine andere Firewall benutzen wenn es da welche gibt.

Gruß
Muh?