Hallo nadsas
Ich glaube, da werden zwei Themen vermischt, die nichts miteinander zu tun haben.
Ob 10Gbit mit deiner eigenen Firewall sind, hängt von der eingesetzten Hardware ab. Diese muss mindestens 10Gbit-fähig sein. Ausserdem sollte deine Infrastruktur (Switches, APs, Geräte usw.) ebenfalls entsprechend ausgelegt sein, da sonst keinen grossen Vorteil aus dem 10Gbit-Anschluss gezogen werden kann.
Ein weiterer zu berücksichtigende Aspekt ist der maximale Datendurchsatz, der die Firewall erlaubt. Du hast erwähnt dass dein Rule Set recht umfangreich ist. Der Anzahl an Rules, der Aufbau (Reihenfolge) und evtl. verwendete UTM Funktionen (Proxy, AV, IDS/IPS) können können sich negativ auf den Durchsatz auswirken. Welcher Durchsatz deine Firewall tatsächlich erlaubt, kannst du testen, indem du je ein System vor und hinter der Firewall platzierst und eine Messung mit iPerf durchführst.
Zum Thema Bridge-Mode habe ich mich öfters ausgesprochen. Dieser Modus bringt nur etwas, wenn du Doppel-NAT unbedingt vermeiden oder die Einschränkungen des Routers umgehen und die ganze Routing-Intelligenz auf ein anderes Gerät übertragen willst. Allerdings geschieht dies auf Kosten der Flexibilität (der Router-Mode ist weitaus flexibler als der Bridge-Mode). Mit dem Bridge-Mode kannst du z. B. den weiter oben erwähnten Durchsatztest nicht durchführen bzw. bestimmte Szenarien können nicht abgebildet/implementiert werden. Zudem wird der Bridge-Mode nicht “supported”, da der Router in den Router-Mode versetzt werden muss, wenn es bei einem Supportfall notwendig ist.
Ich kenne die Internet Box Fiber nicht, aber gemäss Handbuch (Handbuch_Sunrise_Internet_Box_Fiber (storyblok.com), ab Seite 40) bietet der Router die Möglichkeit, statische Routen zu konfigurieren. Dadurch kannst du in deiner Firewall auf “IP-Masquerading” verzichten und somit Doppel-NAT vermieden.
Wie von pato erwähnt wurde, unterstützt die Internet Box Fiber den Bridge-Mode nicht. Alternativ kannst du die DMZ-Funktion (gleiches Handbuch, Seite 71) verwenden, wenn du den gesamten Verkehr zu deiner Firewall weiterleiten willst. Diese Funktion macht das gleiche wie der Bridge-Mode, aber auf Routingebene (Layer 3)
Noch eine weitere Bemerkung am Rande. Mit dem Bridge-Mode wird die Sicherheit nicht erhöht, sondern nur Funktionen verlagert. D. h., du hast nur eine Zone (internes Netz). Mit dem Router-Mode im Zusammenspiel mit einer Firewall hat man zwei sauber getrennte Zonen: Router-Zone (Internet aus Sicht der Firewall) und internes Heimnetz (inkl. Subnetze und andere interne Zonen).
Ich hoffe, das hilft weiter.
Gruss
Belegnor