IGNIS Firewall und VPN Concentrator

Übersicht
IGNIS Firewall & VPN Concentrator

Die IGNIS Firewall & VPN Konzentrator ist eine integrierte Firewall und dient der Absicherung von Unternehmens-, Anwendungs- oder Router-Netzwerken. Zudem lässt sie sich als VPN-Gegenstelle von Routern im Feld nutzen. Die besonders ausfallsichere Lösung unterstützt Stateful Packet Inspection, IPsec IKEv2 und OpenVPN Management mit Next Generation Encryption. Sie wehrt potentielle Angreifer zuverlässig ab (Intrusion Detection), wobei gleichzeitig die geeigneten Bandbreiten für die eigentliche Anwendung zur Verfügung stehen (Traffic Shaper). Für eine hohe IT-Verfügbarkeit sorgt der sogenannte Hardware Failover: Fällt ein Gerät aus, übernimmt ein anderes die Arbeit. Nicht zuletzt benachrichtigt die Lösung den Anwender bei abnormalen Vorgängen und führt regelmäßig Backups durch.

Bezeichnung CPU Typ Ethernet Ports Montage
IGNIS Firewall-Celeron Quad Core SSD DIN rail Intel® Celeron™ J1900 Prozessor 3x RJ45 10/100/1000BaseTX Ports Hutschiene
IGNIS Firewall-Quad Core SSD Rack AMD GX-416RA Prozessor 4x RJ45 10/100/1000BaseTX Ports Rackmount
IGNIS Firewall-Xeon Quad Core SSD Rack Intel® Xeon™ E3-1225 v3 Prozessor 8x RJ45 10/100/1000BaseTX Ports Rackmount

Virtual Private Network

Unterstützte VPN Technologien

IGNIS Firewall bietet eine große Auswahl von VPN Technologien, angefangen bei modernen SSL VPNs, bis hin zu der bekannten IPsec.

OpenVPN

Eine leistungsstarke SSL VPN Lösung zur Unterstützung einer Vielzahl von Client-Betriebssystemen, einschließlich der mobilen Systeme (Android/IOS).

IPsec

IPsec ermöglicht eine Verbindung mit allen Geräten, welche die Standard IPsec Suite unterstützen. Sie wird normalerweise für eine Punkt-zu-Punkt-Kommunikation mit anderen Endpunkten und einem TK800 Router verwendet. Außerdem werden Open Source Firewalls und die meisten kommerziellen Firewall-Lösungen (Cisco, Juniper usw) unterstützt. Sie kann auch für die mobile Clientkonnektivität (Road Warrior) verwendet werden.

Virtual Private Network

Stateful Inspection Firewall

„Eine Stateful Firewall ist eine Firewall, die den Überblick über den Zustand der Netzwerkverbindungen (wie TCP-Streams, UDP-Kommunikationen) behält, die im Netz übertragen werden. Die Firewall ist so programmiert, dass sie zwischen legitimen Paketen für die verschiedenen Verbindungsarten unterscheidet. Nur die Pakete, die mit einer bekannten aktiven Verbindung übereinstimmen, werden von der Firewall zugelassen, die anderen werden verworfen.“ Quelle: de.wikipedia.org

Stateful inspection firewall

Filterung
Die Firewall kann den Datenverkehr nach Quelle, Ziel, Protokoll und Portnummer (TCP/UDP) filtern.

Operating System Fingerprinting (OSFP)
Die fortschrittliche passive OS-Fingerprintingtechnologie kann verwendet werden, um den Datenverkehr je nach Betriebssystem, mit dem die Verbindung hergestellt wurde, zuzulassen oder zu blockieren.

Firewallverkehr nach Übereinstimmung mit dem Protokoll auf einer regelbasierten Basis
Jede Regel kann so eingestellt werden, dass sie eine Übereinstimmung protokolliert. Auf diese Weise lässt sich eine Blockierungs- oder Durchlassungsregel einfach hinzufügen.

Regelbasiertes Routing nach Gateway-Option
Mit dem regelbasieren Routing ist es möglich, einer Regel einen Gateway hinzuzufügen und das Standardrouting von übereinstimmendem Datenverkehr effektiv zu ändern.

Alias-Unterstützung für Gruppierungs- und Namens-IPs, Netzwerke und Ports
Aliase helfen, Regelsätze sauber und leicht verständlich zu halten.

Transparente Schicht 2, Firewall-fähig
Überbrückung von Schnittstellen und Filterung von Datenverkehr zwischen den Schnittstellen. Ermöglicht eine IP-Less Firewall (Stealth-Modus)

Präzise Tabelle für die Zustandserfassung
Einstellbare Tabellengröße
Möglichkeit, den Datenverkehr pro Regel zu begrenzen (basierend auf gleichzeitigen Verbindungen)
Zustände pro Host & neuer Verbindungen pro Sekunde

Paketfilterung deaktivieren
Diese Option kann verwendet werden, um das System in einen reinen Router zu verwandeln.

Hardware Failover

Hardware Failover

Die IGNIS Firewall verwendet das Common Address Redundancy Protocol (CARP) für den Hardware Failover. Es können zwei oder mehr Firewalls als Failover-Gruppe konfiguriert werden. Fällt eine Firewall aus, wird die zweite aktiv. Durch die Verwendung dieser leistungsstarken Funktion der IGNIS Firewall erhalten Sie eine redundante Firewall mit einem automatischen und nahtlosen Failover. So wird eine minimale Unterbrechung für die Nutzer sichergestellt.

Automatischer Failover

Steht die Haupt-Firewall nicht zur Verfügung, übernimmt die Neben-Firewall, ohne dass ein Benutzer eingreifen muss.

Synchronisierte Tabelle für die Zustandserfassung

Die Tabelle für die Zustandserfassung der Firewall wird auf alle Firewalls mit konfiguriertem Failover repliziert. Dies bedeutet, dass die vorhandenen Verbindungen im Falle einer Störung aufrecht erhalten bleiben, was für die Verhinderung einer Netzwerkunterbrechung wichtig ist.

Synchronisierung der Konfiguration

Der IGNIS Firewall enthält Funktionen für die Konfigurationssynchronisierung. Die Änderungen, die auf dem Hauptsystem vorgenommen werden, werden automatisch mit der Neben-Firewall synchronisiert.

Intrusion Detection

Intrusion Detection

Inline-Angriffsschutzsystem
Das Inline-IPS-System der IGNIS Firewall basiert auf Suricata und verwendet Netmap zur Leistungsverbesserung und Minimierung der CPU-Auslastung. Die detaillierte Paketanalyse ist sehr leistungsstark und kann verwendet werden, um Sicherheitsbedrohungen in Drahtgeschwindigkeit zu verringern.

Regelsätze
Alle verfügbaren Regelkategorien können einfach ausgewählt und mit den Standard- oder benutzerdefinierten Einstellungen angewendet werden.

Warnungen
Die Warnungen sind innerhalb der Benutzerschnittstelle durchsuchbar. Zu den Warnungen können Details angezeigt werden.

ETOpen Regelsatz für neue Bedrohungen
Die IGNIS Firewall unterstützt ETOpen Regeln. Der ETOpen Regelsatz ist ein ausgezeichneter Anti-Malware IDS/IPS Regelsatz, mit dem Nutzer ihre vorhandene netzwerkbasierte Malwareerkennung verbessern können.

Abuse.ch
Abuse.ch bietet zahlreiche schwarze Listen zum Schutz vor betrügerischen Netzwerken. Die IGNIS Firewall bietet auch eine Unterstützung von SSL Blacklist (SSLBL).

Feodo Tracker
Feodo (auch bekannt als Cridex oder Bugat) ist ein Trojaner, der zum Betrug beim E-Banking und zum Diebstahl empfindlicher Informationen, wie Kreditkartendetails oder Zugangsdaten aus dem Rechner des Opfers, verwendet wird.

Maxmind GeoLite2 Country
Die IGNIS Firewll unterstützt die GeoLite2 Country Datenbank. GeoLite2 Country ist eine kostenlose IP Geolocation Datenbank.

Fingerprints
Die IGNIS Firewall enthält eine Lösung, mit der geschützte Sites, basierend auf ihrem SSL Fingerprint, blockiert werden.


Netflow Export & Analyses - Insight

Netflow ist eine von Cisco entwickelte Überwachungsfunktion, die im FreeBSD Kernel mit ng_netflow (Netgraph) implementiert ist. Während viele Überwachungslösungen, wie Nagios, Cacti und vnstat nur Datenverkehrsstatistiken erfassen, erfasst Netflow komplette Paketflows, einschließlich der Quelle, Ziel-IP und Portnummer. Die IGNIS Firewall unterstützt den Export der Netflow Daten komplett und bietet das umfassende Analysetool „Insight“. Insight ermöglicht die Analyse und Live-Überwachung innerhalb der Web-Oberfläche.

Netflow Exporter

Der Netflow Exporter der Firewall von IGNIS unterstützt verschiedene Schnittstellen, das Filtern von eintretenden Flows und mehrere Ziele. Diese umfassen die lokale Erfassung für die Analyse mit Insight (IGNIS Firewall Netflow Analyser).

NETFLOW EXPORT & ANALYSES - INSIGHT IGNIS Firewall

Funktionsliste

Stateful Firewall

• Filtern nach
  - Quelle
  - Ziel
  - Protokoll
  - Port
  - BS (OSFP)
• Regelbasierte Beschränkung simultaner Verbindungen
• Regelbasierter Verkehr in Übereinstimmung mit dem Protokoll
• Regelbasiertes Routing
• Paketnormalisierung
• Möglichkeit, den Filter zu deaktivieren, um ihn ausschließlich als Router zu verwenden

Präzise Tabelle für die Zustandserfassung

• Einstellbare Tabellengröße
• Regelbasiert
  - Beschränkung gleichzeitiger Client-Verbindungen
  - Limitierte Zustände pro Host
  - Beschränkung neuer Verbindungen pro Sekunde
  - Festlegung des Zustand-Timeouts
  - Festlegung des Zustandtyps
• Statustyp
  - Beibehalten
  - Ungenau
  - Anpassen
  - Synproxy
  - Keiner
• Optimierungsoptionen
  - Normal
  - Hohe Latenz
  - Aggressiv
  - Konservativ

802.1Q VLAN Unterstützung

• Max. 4096 VLANs

Netzwerk-Adressenübersetzung

• Portweiterleitung
• 1:1 von IPs & Subnetzen
• Ausgehende NAT
• NAT-Reflexion

Traffic Shaping

• Bandbreite einschränken
• Bandbreite teilen
• Verkehr priorisieren
• Regelbasierte Übereinstimmung
  - Protokoll
  - Quelle
  - Ziel
  - Port
  - Richtung

IGMP Proxy

• Für Multicastrouting

Universelles Plug & Play

• Vollständige Unterstützung

Dynamisches DNS

• Aus einer Liste wählbar
• Benutzerdefiniert
• RFC 2136 Unterstützung

DNS-Weiterleitung

• Host Overrides
• Domänen Overrides

DNS Server

• Host Overrides
  - A-Datensätze
  - MX-Datensätze
• Zugriffsliste

DNS Filter

• OpenDNS Unterstützung

DHCP Server

• IPv4 & IPv6
• Relaisunterstützung
• BOOTP Optionen

Multi WAN

• Lastenausgleich
• Failover
• Aliase

Lastenausgleichsmodul

• Verteilung des eingehenden Datenverkehrs auf mehrere Server

Netzwerkzeitserver

• Hardwaregeräte
  - GPS
  - Puls pro Sekunde

Angriffserkennung & -Schutz

• Inline-Schutz
• Integrierte Regelsätze
  - SSL Blacklists
  - Feodo Tracker
  - Geolite2 Country IP
  - ETOpen für neue Bedrohungen
• SSL Fingerprint
• Automatische Regelaktualisierung durch konfigurierbare Crons

Virtual Private Networks

• IPsec
  - Standort-zu-Standort
  - Road Warrior
• OpenVPN
  - Standort-zu-Standort
  - Road Warrior
  - Einfacher Exporteur für Client-Konfigurationen
• PPTP (Legacy)
• LT2P (Legacy)

Hohe Verfügbarkeit

• Automatisches Hardware-Failover
• Synchronisierte Zustandstabelle
• Synchronisierung der Konfiguration

Proxy mit Cache

• Mehrere Schnittstellen
• Transparenter Modus
• Zugriffskontrollliste
• Schwarze Listen
• Kategoriebasierter Web-Filter
• Datenverkehrs-Management
• Automatische Synchronisation entfernter schwarzer Listen
• ICAP (Unterstützung des Virenscanners)

Systemintegrität

• Ringversuche
• Auswahl & Zoom
• Exportierbar

Backup & Wiederherstellung

• Verlauf und & Diff. Unterstützung
• Sicherung von Dateien
• Cloud Backup

SNMP

• Überwachung & Traps

Diagnose

• Status der erneuten Ladung des Filters
• Firewall Info (pfInfo)
• Benutzer mit den meisten Zugriffen (pfTop)
• Firewalltabellen
  - Aliase
  - Bogons
• Zur Zeit geöffnete Socketverbindungen
• Anzeige aller Zustände
• Status-Reset
• Zustandszusammenfassung
• Wake-On-LAN
• ARP Tabelle
• DNS-Lookup
• NDP Tabelle
• Ping
• Paketerfassung
• Testport
• Trace Route
• Datenverkehrsgrafik

Network Monitoring

• Netflow Exporter
• Network Flow Analyser
  - Fully Integrated
  - CVS Exporter

Firmware

• Einfache Aktualisierung
  - Neustartwarnung für Basisaktualisierungen
• Wählbarer SSL Flavour
  - OpenSSL
• Wählbarer Paket-Spiegel
• Neue Installation eines Einzelpakets
• Paketsperre (verhindert die Aktualisierung)