Allgemein

VLAN-Segmentierung über die Firewall statt Layer-3-Switch

Max Gunkel

Wenn es um das Segmentieren von Netzwerken per VLAN geht, denkt man schnell an Layer-3-Switches, die das Routing zwischen den VLANs übernehmen. Doch es gibt eine weitere – oftmals sehr sicherheitsorientierte – Variante: Die Segmentierungs-Firewall agiert als Router, während die Switches lediglich auf Layer 2 arbeiten. Das bedeutet, dass sämtlicher Verkehr zwischen den VLANs ausschließlich über die Firewall geleitet wird.

In diesem Artikel schauen wir uns an, wie dieses Setup aussieht, welche Vorteile es bietet und worauf man besonders achten sollte.

Grundidee: Trennung von Switching (L2) und Routing (Firewall)

Layer-2-Switches

  • Sie sorgen nur für das reine Switching (Weiterleitung anhand der MAC-Adressen) und VLAN-Tagging nach 802.1Q.
  • Jedes VLAN bleibt dabei in seinem eigenen Subnetz, ohne dass ein Switch selbst routet.

Firewall als Router

  • Anstatt einen Layer-3-Switch zu nutzen, übernimmt die Firewall sämtliche Routing-Aufgaben.
  • Für jedes VLAN gibt es (mindestens) ein Interface oder eine Sub-Interface auf der Firewall, das als Default Gateway fungiert.
  • Der gesamte Datenverkehr zwischen VLANs oder ins Internet durchläuft die Firewall.

„Router-on-a-Stick”-Prinzip

Oftmals wird eine Trunk-Verbindung zwischen Switch und Firewall eingerichtet. Der Switch sendet VLAN-Tagged-Traffic an die Firewall, die wiederum pro VLAN (z. B. als Sub-Interface) eine IP-Konfiguration besitzt. Die Firewall routet zwischen diesen Sub-Interfaces und kann gleichzeitig Sicherheitsrichtlinien anwenden (z. B. Firewall-Regeln, IDS/IPS, Content-Filter).

Vorteile des Firewall-zentrierten Ansatzes

Zentrale Sicherheitskontrolle

  • Da sämtlicher Inter-VLAN-Verkehr zwingend über die Firewall läuft, kannst du Zugriffsregeln auf sehr granularer Ebene definieren.
  • So lässt sich beispielsweise bestimmen, dass das „Gast-VLAN” nur ins Internet darf, aber nicht in „Produktion” oder „Buchhaltung”.

Deep Packet Inspection und erweiterte Funktionen

  • Moderne Firewalls bieten weit mehr als nur Paketfilterung. Sie können Protokolle analysieren (Application Control), Schadsoftware erkennen oder Zugriffe in Echtzeit blockieren.
  • Bei einem Layer-3-Switch hättest du meist nur rudimentäre Access Control Lists (ACLs).

Einheitliches Management

  • Du konfigurierst VLANs auf den Switch-Ports (Layer 2). Das Routing und die Sicherheitsrichtlinien steuerst du zentral auf der Firewall.
  • Das schafft klare Zuständigkeiten: Der Switch macht nur Switching, die Firewall übernimmt das Routing.

Transparente Segmentierung

  • Endgeräte in verschiedenen VLANs merken nicht, dass sie per Firewall geroutet werden – sie sprechen einfach mit ihrem Default Gateway.
  • Gleichzeitig kannst du jederzeit weitere VLANs hinzufügen oder Zugriffsregeln ändern, ohne die Switches auf Layer-3-Ebene anpassen zu müssen.

Typische Einsatzszenarien

Hochsichere Umgebungen

  • In Bereichen mit strengem Compliance-Bedarf (z. B. Banken, Krankenhäuser) stellt man oft sicher, dass alle Datenströme durch eine Firewall laufen und nicht nur über ACLs auf dem Switch geregelt werden.

Kleinere oder mittlere Unternehmen

  • Nicht jedes Unternehmen besitzt einen leistungsstarken Layer-3-Switch. Eine zentrale Firewall kann den Traffic routen und schützt gleichzeitig das Firmennetz.
  • Sobald die Firewall-Portdichte oder Performance an ihre Grenzen stößt, lässt sich das Setup erweitern (z. B. durch mehrere Firewalls oder Switch-Stacks).

Gast- oder IoT-Netze

  • Gäste oder IoT-Geräte (z. B. Sensoren, Kameras) landen in eigenen VLANs, deren Traffic zu internen Ressourcen streng begrenzt ist. Die Firewall setzt genaue Richtlinien, welche Ziele erreichbar sind.

Herausforderungen und Stolperfallen

Performance und Durchsatz

  • Alle Inter-VLAN-Verbindungen müssen die Firewall durchlaufen. Ist diese nicht ausreichend dimensioniert (CPU, Durchsatz, Anzahl der Sessions), kann es zu Engpässen kommen.
  • In größeren Umgebungen kann ein Layer-3-Switch mit Hardware-Routing schneller sein – allerdings ohne die umfangreichen Sicherheitsfunktionen einer Firewall.

Single Point of Failure

  • Liegt die Firewall lahm, bricht nicht nur die Verbindung ins Internet weg, sondern auch der Verkehr zwischen den VLANs im Intranet.
  • Hier helfen redundante Firewalls (Active/Standby oder Active/Active) und Notfallkonzepte.

Komplexität bei vielen VLANs

  • Wenn du sehr viele VLANs (z. B. Dutzende oder Hunderte) an einer einzigen Firewall terminierst, kann das Management anspruchsvoll werden.
  • Jede VLAN-Sub-Interface braucht IP-Konfigurationen, Firewall-Rules, NAT-Einstellungen etc.

Trunk-Konfiguration

  • Wenn ein Switch mehrere VLANs über eine gemeinsame Leitung (Trunk) an die Firewall weitergibt, müssen VLAN-IDs und Sub-Interfaces sauber abgestimmt sein.
  • Ein 802.1Q-Tag-Mismatch führt schnell zu Kommunikationsproblemen.

Praxis-Tipps

Größenordnung abschätzen

  • Überlege, wie viel Inter-VLAN-Traffic tatsächlich entsteht. Wenn du Rechenzentren mit riesigen Datenmengen betreibst, könnte ein reines Firewall-Routing zum Flaschenhals werden.
  • Für Büroumgebungen mit normalem Datenverkehr ist es oft völlig ausreichend.

Redundanz und Ausfallsicherheit

  • Baue eine zweite Firewall ins Netzwerk ein (High Availability). Fällt eine aus, übernimmt die andere automatisch.

Saubere VLAN- und IP-Planung

  • Vergib klare VLAN-IDs und IP-Netze (z. B. VLAN 10 = 192.168.10.0/24, VLAN 20 = 192.168.20.0/24).
  • Notiere, welche Sub-Interface an der Firewall zu welcher VLAN-ID gehört.

Segmentierungs-Policies im Detail planen

  • Definiere für jedes VLAN, wohin es kommunizieren darf. Beispiel:
    • Buchhaltung -> ERP-Server ja, Internet ja, Marketing nein
    • Gast -> nur Internet, nichts Internes
  • So sparst du dir später Flickwerk in der Firewall-Konfiguration.

Fazit

Setzt du VLANs nur auf Layer 2 um und leitest sämtliche Inter-VLAN-Verbindungen durch eine Segmentierungs-Firewall, erhältst du ein hochgradig kontrolliertes, sicherheitsorientiertes Setup. Dieses Modell bietet sich besonders dort an, wo du granulare Zugriffsregeln, Deep Packet Inspection und zentrale Verwaltung wünschst – und wo der potenzielle Durchsatz der Firewall ausreicht.

Die Firewall fungiert hierbei als Single Point of Control für sämtliche Datenströme zwischen den VLANs. Das Resultat: maximale Transparenz und gute Möglichkeiten, jede Art von unerwünschtem Traffic zu unterbinden. So findest du eine Balance zwischen Effizienz und Sicherheit, ohne gleich in teure Layer-3-Switching-Hardware oder eine komplexe Hybridlösung investieren zu müssen.

VLANFirewallSecurityNetzwerkSegmentierungRouting