Zedmos
ENDE
Loslegen
KONSOLEN-MODUS · VOR ORT

Machen Sie Ihre OPNsense-Appliance zu einer vollwertigen Next-Generation-Firewall.

Zedmos Console ist ein erstklassiges OPNsense-Modul. Inspektion, Richtlinien, Identität und Protokollierung laufen lokal — auf Hardware, die Sie kontrollieren. Keine Cloud-Abhängigkeit, kein Telemetrie-Abfluss, keine externe Datenebene.

OPNsense-ModulAir-Gap-fähigLokale DatenresidenzEinzelstandort
TOPOLOGIE

Alles bleibt auf der Appliance

Die Konsolen-Bereitstellung ist bewusst schlicht: Eine Appliance beherbergt die Engine, den Richtlinien-Speicher, den Ereignis-Speicher und die Verwaltungsoberfläche. Kein Orchestrator, keine geteilte Cloud, kein Overlay zwischen Standorten.

BENUTZER-LAN · 10.0.0.0/24OPNSENSE-APPLIANCE + ZEDMOSZedmos-EngineDPI · TLS · Richtl. · Aktionen · LogsLokale UI:5000Lokaler Speicher/var/db/zedmos★ Nichts verlässt die ApplianceKeine Cloud · air-gap-fähigINTERNETAdminhttps
EINFÜHRUNGSPFAD

Fünf Schritte von der Plattformprüfung zur aktiven Durchsetzung

Ein geführter Einführungsablauf. Jeder Schritt ist umkehrbar und hinterlässt die Appliance in einem definierten Zustand.

01
Plattform validieren

Eine Preflight-Routine prüft die Zielschnittstelle auf Fast-Path-Fähigkeit, Multi-Queue-Unterstützung und Treiberreife. Nicht unterstützte Kombinationen werden mit klarem Grund und Ausweichpfad gemeldet — noch vor der Installation.

  • Automatisierte Hardware-Kompatibilitätsprüfung
  • Validierung von Treibern und Kernel-Modulen
  • Klare Handlungsempfehlung, falls ein Fallback nötig wird
02
Appliance-Modul installieren

Zedmos wird als signiertes OPNsense-Modul ausgeliefert, das Engine, Log-Ebene, Steuerungsebene und Verwaltungsoberfläche als geschlossene Einheit ergänzt. Die Installation läuft unbeaufsichtigt und vollständig reversibel.

  • Signiertes Paket, reproduzierbarer Build
  • Integrierte Engine · Log-Ebene · Control-Socket · Oberfläche
  • Saubere Deinstallation mit Zustandsbewahrung
03
Betriebshaltung wählen

Starten Sie in der Monitor-Haltung, um eine risikofreie Baseline aufzubauen. Wechseln Sie später in Bridge für Inline-Durchsetzung oder in Routed für richtlinienbasierte Steuerung. Der Wechsel ist eine einzige Einstellung — ohne Neukonfiguration.

  • Monitor · Beobachtung ohne Paketmodifikation
  • Bridge · transparente Inline-Durchsetzung auf Layer 2
  • Routed · richtlinienbasierte Steuerung auf Layer 3
04
Richtlinien modellieren

Richtlinien werden in der Verwaltungsoberfläche erstellt — ein strukturierter Editor mit Validierung, Diff-Ansicht und Versionierung. Jede Änderung wird vorbereitet, geprüft und als atomarer Generationswechsel ohne Paketverlust übernommen.

  • Match auf Anwendung, Kategorie, SNI, Nutzer, Gerät, IP, Geografie oder TLS-Fingerprint
  • Vierzehn Aktions-Verben von reiner Beobachtung bis zur Eskalation
  • Validierte Generationen, atomare Übernahme, Rollback per Klick
05
Aus der lokalen Oberfläche betreiben

Die Verwaltungsoberfläche läuft auf der Appliance selbst. Live-Verkehr, Ereignisse, Threat Intelligence, SLA und Geräteinventar werden dort dargestellt. Kein Call-Home, keine externe Konsole, keine Telemetrie nach außen.

  • Live-Dashboard für Flows und Ereignisse
  • Sichten auf Threat Intelligence und Geräteinventar
  • Strukturierter Export in das SIEM Ihrer Wahl vor Ort
WANN DER KONSOLEN-MODUS PASST

Ideale Einsatzszenarien

Regulierte Einzelstandorte
Finanzdienstleister, Gesundheitswesen, Verteidigung und öffentlicher Sektor — Umgebungen, in denen Inspektion, Protokolle und Richtlinien innerhalb eines kontrollierten Perimeters bleiben müssen.
Air-Gap- und Betriebsnetze
Produktionshallen, SCADA-Segmente und isolierte Labore. Threat-Intelligence- und Signatur-Aktualisierungen werden unter Operator-Kontrolle importiert und freigegeben.
Hochdurchsatz-Perimeter
Inspektion auf Carrier-Niveau mit handelsüblicher Hardware. Vollständige DPI, TLS-Inspektion und Richtlinien-Durchsetzung bei Leitungsgeschwindigkeit — ohne Cloud-Aufschlag pro Gigabit.
Brownfield-OPNsense-Betreiber
Nahtlose Integration mit der Plattform, die Sie bereits für Firewalling und HA betreiben. Das mentale Modell bleibt, die Datenebene der nächsten Generation kommt hinzu.