Die richtige Firewall für unser kleines Unternehmen
Guten Morgen die Damen und Herren
ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und versucht zu verstehen. Leider mit dem Ergebnis, dass ich sehr verunsichert bin.
Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.
In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.
Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung
Zur Auswahl haben ich uns ausgeschaut:
Sophos SG 115
SonicWALL TZ 215
ZyXEL ZyWALL USG 100
Die Sophos scheint von den reinen Leistungs- und Durchsatzdaten die mit der höchsten Performance.
Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage, wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar Konfigurieren muss ich.
Man findet viele Informationen im Internet und mein aktueller Eindruck ist, dass sich in dieser Preisklasse und bei unseren geringen Anforderungen die Geräte nicht viel schenken, sondern in etwa auf gleicher Höhe sind.
Aktuell tendiere ich zu der Sophos SG 115 in Kombination mit der Essential Firewall von Sophos.
Warum diese? Hat gemäss den Herstellerangaben scheinbar die beste Hardware, ist ausbaufähig und der Hersteller macht vom gesamten Internetauftritt auf mich den besten Eindruck.
Viele liebe Grüsse
M
ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und versucht zu verstehen. Leider mit dem Ergebnis, dass ich sehr verunsichert bin.
Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.
In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.
Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung
Zur Auswahl haben ich uns ausgeschaut:
Sophos SG 115
SonicWALL TZ 215
ZyXEL ZyWALL USG 100
Die Sophos scheint von den reinen Leistungs- und Durchsatzdaten die mit der höchsten Performance.
Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage, wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar Konfigurieren muss ich.
Man findet viele Informationen im Internet und mein aktueller Eindruck ist, dass sich in dieser Preisklasse und bei unseren geringen Anforderungen die Geräte nicht viel schenken, sondern in etwa auf gleicher Höhe sind.
Aktuell tendiere ich zu der Sophos SG 115 in Kombination mit der Essential Firewall von Sophos.
Warum diese? Hat gemäss den Herstellerangaben scheinbar die beste Hardware, ist ausbaufähig und der Hersteller macht vom gesamten Internetauftritt auf mich den besten Eindruck.
Viele liebe Grüsse
M
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258301
Url: https://administrator.de/contentid/258301
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
24 Kommentare
Neuester Kommentar
Hallo,
grundsätzlich kann man auch pfSense von ein paar firmen als kpl. lösung kaufen.
Wobei die Tatsache das man die Firmware auf ne ne SD Karte spielen muss hat nicht's mit Bestellösung zu tun. Auch bei den "Fertigen" Lösungen muss man gelegentlich Updates einspielen.
Was mir auch noch gut gefällt ist Gateprotect. da die für Laien sehr einfach einzurichten sind.
grundsätzlich kann man auch pfSense von ein paar firmen als kpl. lösung kaufen.
Wobei die Tatsache das man die Firmware auf ne ne SD Karte spielen muss hat nicht's mit Bestellösung zu tun. Auch bei den "Fertigen" Lösungen muss man gelegentlich Updates einspielen.
Was mir auch noch gut gefällt ist Gateprotect. da die für Laien sehr einfach einzurichten sind.
Guten Morgen,
ich kann dir nur über die Sophos ne Empfehlung aussprechen, einfach aus dem Grund weil ich die andere nicht kenne (nicht damit gearbeitet). Aufgrund deines Textes vermute ich aber mal, das deine Aufgaben in der Firma nicht primär im IT-Bereich liegen. Daher würde ich dir dringend empfehlen, die Konfiguration von einem Profi machen zu lassen. Die Sophos lässt sich zwar vergleichsweise leicht konfigurieren, trotzdem sollte man wissen was man tut. Das gleiche gilt auch für einen Server.
Daher meine Empfehlung: Die Sophos ist ne gute Sache, wenn IT aber nicht dein Job ist, suche dir bitte einen Profi der euch wenigstens Unterstützt.
Gruss,
Java
ich kann dir nur über die Sophos ne Empfehlung aussprechen, einfach aus dem Grund weil ich die andere nicht kenne (nicht damit gearbeitet). Aufgrund deines Textes vermute ich aber mal, das deine Aufgaben in der Firma nicht primär im IT-Bereich liegen. Daher würde ich dir dringend empfehlen, die Konfiguration von einem Profi machen zu lassen. Die Sophos lässt sich zwar vergleichsweise leicht konfigurieren, trotzdem sollte man wissen was man tut. Das gleiche gilt auch für einen Server.
Daher meine Empfehlung: Die Sophos ist ne gute Sache, wenn IT aber nicht dein Job ist, suche dir bitte einen Profi der euch wenigstens Unterstützt.
Gruss,
Java
Wenn du etwas Budget sparen willst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das kann z.B. auch auf einer 1HE Server Plattform laufen. Bei deiner Unternehmensgröße reicht das allemal...auch auf einem ALIX Board.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das kann z.B. auch auf einer 1HE Server Plattform laufen. Bei deiner Unternehmensgröße reicht das allemal...auch auf einem ALIX Board.
Zitat von @killtec:
HI,
du weißt schon, dass die kostenfreie Version für den Heimgebrauch ist und nicht für die betriebliche Nutzung??
Ich werfe noch mal eine Cisco ASA5505 in den Raum. Ist jedoch etwas komplexer.
Gruß
HI,
du weißt schon, dass die kostenfreie Version für den Heimgebrauch ist und nicht für die betriebliche Nutzung??
Ich werfe noch mal eine Cisco ASA5505 in den Raum. Ist jedoch etwas komplexer.
Gruß
Er hat nicht die Home Edition von SOPHOS verlinkt sondern die Essential und diese darf meines Wissens nach sehrwohl kommerziell genutzt werden.
Gruß
Kümmel
Hi@Kuemmel,
in dem Link ist jedoch folgender Text:
/Zitat:
Der nächste Schritt ist einfach:
Ein Klick genügt und Sie können unsere Sophos UTM Home Use Firewall innerhalb von Minuten downloaden. Nach nur wenigen Schritten können Sie selbst erleben, wie wirksam unsere Software Ihr Netzwerk zu Hause schützt.
Kostenfreie Firewall für Heimnutzer downloaden
/Zitat Ende
Gruß
in dem Link ist jedoch folgender Text:
/Zitat:
Der nächste Schritt ist einfach:
Ein Klick genügt und Sie können unsere Sophos UTM Home Use Firewall innerhalb von Minuten downloaden. Nach nur wenigen Schritten können Sie selbst erleben, wie wirksam unsere Software Ihr Netzwerk zu Hause schützt.
Kostenfreie Firewall für Heimnutzer downloaden
/Zitat Ende
Gruß
Hallo,
bevor Du voreilig etwas kaufst, schau Dir mal SecurePoint(.de) an.
Deutsches Produkt. Super Support, ebenfalls in Deutsch. Die sitzen in Lüneburg.
Updates gibts regelmäßig, 2x AV Scanner des HTTP Traffics und HTTPS (falls gewünscht) mit Forward
Zertifikaten. Deutsche Oberfläche. IPSec, OpenSSL, L2TP oder PPTP VPN. LDAP Anbindung mit Kerberos Auth.
AntiSpam Filterung, kostenloser DynDNS Service vorhanden (auch IPv6).
Für deine Größe würde die BlackDwarf (mit oder ohne WiFi) genau ausreichen. Die Appliance bekommst Du
UVP für ~830€ inkl. 3 Jahre Subscription, sprich Support + Updates für die SecurePoint und die AV Scanner.
Ich hab mir auch eine Blackdwarf für daheim geholt, nachdem ich ehwig versucht habe auf einem Alix Board meine
Spohos (ehemals Astaro) drauf zu bügeln. pFSense kannte ich auch schon von früher. Habe ich auch aufgesetzt aber
konnte mich nie so richtig mit dem Ding anfreunden, zumal es die Gui nur auf Englisch gibt. Dazu gibts von SecurePoint
mittlerweile div. Videos von ehemaligen Webinaren auf Youtube über die Einrichtung der Appliance.
Ich kann SecurePoint uneingeschrenkt empfehlen.
bevor Du voreilig etwas kaufst, schau Dir mal SecurePoint(.de) an.
Deutsches Produkt. Super Support, ebenfalls in Deutsch. Die sitzen in Lüneburg.
Updates gibts regelmäßig, 2x AV Scanner des HTTP Traffics und HTTPS (falls gewünscht) mit Forward
Zertifikaten. Deutsche Oberfläche. IPSec, OpenSSL, L2TP oder PPTP VPN. LDAP Anbindung mit Kerberos Auth.
AntiSpam Filterung, kostenloser DynDNS Service vorhanden (auch IPv6).
Für deine Größe würde die BlackDwarf (mit oder ohne WiFi) genau ausreichen. Die Appliance bekommst Du
UVP für ~830€ inkl. 3 Jahre Subscription, sprich Support + Updates für die SecurePoint und die AV Scanner.
Ich hab mir auch eine Blackdwarf für daheim geholt, nachdem ich ehwig versucht habe auf einem Alix Board meine
Spohos (ehemals Astaro) drauf zu bügeln. pFSense kannte ich auch schon von früher. Habe ich auch aufgesetzt aber
konnte mich nie so richtig mit dem Ding anfreunden, zumal es die Gui nur auf Englisch gibt. Dazu gibts von SecurePoint
mittlerweile div. Videos von ehemaligen Webinaren auf Youtube über die Einrichtung der Appliance.
Ich kann SecurePoint uneingeschrenkt empfehlen.
Hi.
Mal sehen...
Somit vermute ich mal, dass Eure Anforderungen minimal sind, in etwa so:
"Von außen soll nichts erreichbar sein" und "von innen darf auf allen Ports nach außen kommuniziert werden"
Korrigier mich, wenn das nicht so ist. Denn wenn es so ist, kann das jeder Router in Grundeinstellung.
Mal sehen...
In diesem Zusammenhang wollen wir das Netzwerk von aussen nun auch per Firewall absichern
...Anforderungen: ...Regelverwaltung
Ihr habt also Regeln nötig, die eingehenden Verkehr regeln? Besteht denn dieser Verkehr bereits und ist derzeit mit Portfreigabe geregelt, oder wie darf man sich das vorstellen? Du schreibst ja...per Firewall absichern, was bis heute noch nicht der Fall ist. Der einzige Schutz ist aktuell ein Router von ZyXel.
Also habt Ihr in der Zyxel die Firewall abgeschaltet? Das glaube ich kaum.Somit vermute ich mal, dass Eure Anforderungen minimal sind, in etwa so:
"Von außen soll nichts erreichbar sein" und "von innen darf auf allen Ports nach außen kommuniziert werden"
Korrigier mich, wenn das nicht so ist. Denn wenn es so ist, kann das jeder Router in Grundeinstellung.
Zitat von @keine-ahnung:
Moin,
ob es in einer so kleinen Umgebung wirklich eine UTM-LösungSinn macht hängt IMHO von der Art des
"Unternehmens" ab. Eventuell macht es ja auch die firewall eines vernünftigen VPN-(WLAN-)Routers in Verbindung mit
einer zentral zu administrierenden Antimalware-Lösung im LAN ...??
LG, Thomas
Moin,
ob es in einer so kleinen Umgebung wirklich eine UTM-LösungSinn macht hängt IMHO von der Art des
"Unternehmens" ab. Eventuell macht es ja auch die firewall eines vernünftigen VPN-(WLAN-)Routers in Verbindung mit
einer zentral zu administrierenden Antimalware-Lösung im LAN ...??
LG, Thomas
So sehe ich das auch. Einfach einen vernünftigen LANCOM-Router mit integrierter Firewall dahingestellt und fertig ist die Sache.
Gruß
Kümmel
Alternativ kann ich dir wie gesagt eine FORTIGATE ans Herz legen. Einfach mal den Vertrieb kontaktieren oder einen lokalen in deiner Nähe. Die finden meiner Meinung nach immer sehr gute Produkte dem Anwendungsfall entsprechend. Ist relativ leicht zu handhaben.
Gruß
Kümmel
Gruß
Kümmel
Moin nochmal,
Mein Vorschlag für Euch paar Hanseln:
1. Disziplinierung
2. Disziplinierung
3. Disziplinierung
4. vernünftiger VPN-Router mit stateful-inspection-firewall
5. vernünftige Schutzsoftware mit Gerätezugriffssteuerung
6. GPO nutzen
und freuen .
LG, Thomas
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden
ihr habt zunächst mal ein gravierendes Disziplinproblem --> ist Eure Firma irgendein Demokratiespielplatz oder gibt es da auch Jemanden, der was zu sagen hat?- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden
Um nun langsam aber sicher in die richtige Richtung zu steuern haben wir uns entschlossen neue Server anzuschaffen, einen einheitlichen, zentral verwalteteten Virenschutz einzusetzen und eine Firewall anzuschaffen.
Du willst aber eine UTM-firewall anschaffen. Und dazu noch einen Virenschutz??Mein Vorschlag für Euch paar Hanseln:
1. Disziplinierung
2. Disziplinierung
3. Disziplinierung
4. vernünftiger VPN-Router mit stateful-inspection-firewall
5. vernünftige Schutzsoftware mit Gerätezugriffssteuerung
6. GPO nutzen
und freuen .
LG, Thomas
Hallo ,
bei 10 Leuten ? hast Du keinen Aufwand, Nimm Dir ne Magnia oder aehnliches , konfiguriere Sie und gut.
Bei den paar Leuten tausende euro raus zu hauen ??
Wenn Du richtig eier in der Hose hast schnappst Du dir nen Linksysrouter oder aehnliches haust Du Dir da nen ddwrt,openwrt oder noch besser nen open BSD drauf.
Nutze jetzt die Moeglichkeit !
Gruss
bei 10 Leuten ? hast Du keinen Aufwand, Nimm Dir ne Magnia oder aehnliches , konfiguriere Sie und gut.
Bei den paar Leuten tausende euro raus zu hauen ??
Wenn Du richtig eier in der Hose hast schnappst Du dir nen Linksysrouter oder aehnliches haust Du Dir da nen ddwrt,openwrt oder noch besser nen open BSD drauf.
Nutze jetzt die Moeglichkeit !
Gruss
Zitat von @madonischer:
Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf
Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.
Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung
Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage,
wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar
Konfigurieren muss ich.
Zur Situation: Wir sind ein kleines Unternehmen mit 10 Mitarbeitern. Ich habe aktuell die Aufgabe unsere Technik ein wenig auf
Vordermann zu bringen. So steigen wir z.B. von einem Server 2003 auf mehrere aktuelle Windows 2012 R2 Server um.
Anforderungen:
- einfache Verwaltung
- schnell / sicher
- aufgeräumtes GUI
- Regelverwaltung
Aktuell soll wirklich nur die Firewall-Funktion genutzt werden. Eine "pfSense-Lösung" kommt aktuell nicht in Frage,
wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen. Kein gebastel, keine Installationen. Klar
Konfigurieren muss ich.
Hi,
ich habe vor nicht all zu langer Zeit ein ähnliches Szenario in die Realität umgesetzt und dabei auf pfSense gesetzt.
Das einzige was damals in Richtung "gefriggel" ging war die Konfiguration einer IP über die serielle Schnittstelle, damit man überhaupt auf das Webinterface zugreifen kann. Da dieses Vorgehen aber durchaus üblich ist und problemlos (auch ohne Anleitung) über die Bühne ging, sehe ich das nicht als Nachteil.
Alles weitere war Plug and Play. Strom an, Netzwerkkabel einstöpseln, ein paar Klicks im Webinterface schon schon lief die Kiste inkl. der benötigten Portweiterleitungen. Vom Auspacken bis zur Fertigstellung der Konfiguration/Inbetriebnahme habe ich ca. 45 Minuten benötigt ohne, dass ich vorher jemals mit pfSense zutun hatte.
Eine Bedienungsanleitung oder die Hilfe der Community war dafür nicht erforderlich.
Anschließend konnten ebenfalls relativ problemlos ein Loadbalancing zwischen zwei DSL Anschlüssen und ein Punkt zu Punk OpenVPN Tunnel eingerichtet werden.
Bis jetzt bin ich mit dem Gerät sehr zufrieden.
Eine "pfSense-Lösung" kommt aktuell nicht in Frage, wenn ich möchte ein Gerät kaufen, anstecken und in Betrieb nehmen.
Für Leute die keinen Schraubendreher halten können kann man die pfSense als Komplettsystem fix und fertig kaufen zurm einfach reinstecken und Konfigurieren:http://varia-store.com/Systeme-mit-Software/pfSense:::223_271.html
Kommt man auch eigentlich von selber drauf wenn man mal sucht...?!
Zitat von @madonischer:
Die aktuelle Situation ist, naja sagen wir mal so, suboptimal:
- veralteter Server
- lediglich ein Router natürlich inkl. eingeschalteter Firewall zwischen Internet und Netzwerk
- eine im worst-case (in meinen Augen) nur schwer herstellbare Datensicherung ohne richtigen Sicherungsplan
- kein Zugriff für die Mitarbeiter auf bestimmte Programme von aussen
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu
installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden
In diesem gesamten Zusammenhang, vorallem aus Serverkapazitätsgründen haben wir entschlossen all das anzugehen.
Es soll später über die Firewall geregelt werden was nach aussen und auch nach innen kommt. Dementsprechend auch
Content-/WebFilter (klar ich kann auch mit einem einfachen Router bestimmte Ports / URLs blocken)
Zudem soll ein sicherer Zugang für die Aussendiensttätigkeit vorhanden sein.
Ausbaustufe irgendwann evtl. eine echte DMZ für den, teilweise öffentlichen Zugriff von aussen auf bestimmte Dienste
innerhalb unseres Intranets.
Die aktuelle Situation ist, naja sagen wir mal so, suboptimal:
- veralteter Server
- lediglich ein Router natürlich inkl. eingeschalteter Firewall zwischen Internet und Netzwerk
- eine im worst-case (in meinen Augen) nur schwer herstellbare Datensicherung ohne richtigen Sicherungsplan
- kein Zugriff für die Mitarbeiter auf bestimmte Programme von aussen
- kein einheitlicher Vireschutz (jeder kocht hier seine eigene Suppe)
- es macht generell praktisch jeder was er möchte. Sei es private Spiele auf den Firmenlaptops aus zweifelhafter Quelle zu
installieren, bis hin zu dem Verdacht, dass Filesharingtools über die geschäftliche Internetleitung genutz werden
In diesem gesamten Zusammenhang, vorallem aus Serverkapazitätsgründen haben wir entschlossen all das anzugehen.
Es soll später über die Firewall geregelt werden was nach aussen und auch nach innen kommt. Dementsprechend auch
Content-/WebFilter (klar ich kann auch mit einem einfachen Router bestimmte Ports / URLs blocken)
Zudem soll ein sicherer Zugang für die Aussendiensttätigkeit vorhanden sein.
Ausbaustufe irgendwann evtl. eine echte DMZ für den, teilweise öffentlichen Zugriff von aussen auf bestimmte Dienste
innerhalb unseres Intranets.
Also ich empfinde es als äußerst positiv, dass Du/Ihr mehrere "Baustellen" identifiziert habt. Das zeigt mir, dass Ihr ernsthaft am analysieren seid. Bezogen auf die Firewall fand ich insbesondere Deine Erwägungen zur "echten DMZ" sehr löblich. Offenkundig wurde verstanden, dass es nicht damit getan ist, eine Box mit dem Aufdruck "Firewall" zu kaufen, sondern dass es diesbezüglich eines Infragestellens der aktuellen Kommunikationswege und der Entwicklung und Umsetzung eines an den individuellen Schutzzielen ausgerichteten Konzeptes bedarf. Eine Firewall ist bestenfalls ein Teilelement eines mehrstufigen Schutzkonzeptes! Zu dessen Entwicklung und Implementierung holt Ihr Euch im Idealfall einen guten Consultant ins Boot. Das Problem ist nur, einen wirklich kompetenten Externen zu finden, wenn man selbst keine Ahnung hat. Im Grunde geht dies nur, wenn man 3-4 Partner ein Grobkonzept entwickeln oder zumindest ein umfangreiches Beratungsangebot erstellen lässt und darauf achtet, welche Fragen diese einem selbst stellen. Es gibt z.B. gewisse "Best Practices" beim Design. Nach der "reinen Lehre" ist es z.B. so, dass es generell keine direkte Kommunikation zwischen inside und outside gibt. Und zwar nicht nur von outside nach inside sondern auch von inside nach outside nicht! Jegliche Kommunikation hat eigentlich über spezielle dual homed Application Layer Gateways in der DMZ zu erfolgen. Dieser Aufbau lässt sich in der Praxis leider selten zu 100% umsetzen. Einerseits aus funktionalen Gründen und andererseits häufig auch aus Budgetgründen. Gleichwohl sollte der Berater solche Dinge ansprechen und mit Euch diskutieren. Spätestens wenn Ihr jemanden eingekauft habt, der Euch ohne Murren irgendwelche "Portforwardings" (allein bei dem Wort bekomme ich Kopfschmerzen) nach Inside einrichtet, ohne Euch vorher über die Gefahren und die Alternativen beraten zu haben, sollte Dir klar sein, dass Ihr einen Amateur eingekauft habt. Davon gibt es leider viele.
Zitat von @madonischer:
Als Budget für die "Firewall" haben wir uns bis zu 800.- gesetzt. Nun stelle ich aber fest, dass die meisten
scheinbar mit "Abos" arbeiten - je nach Anforderungen bucht man zusätzliche Pakete hinzu.
Okay machen wir genauso, nicht schlimm.
Ich habe mir die Black Dwarf UTM Firewall angeschaut ...
Alternativ gibt es die Zywall USG 60 im Bundle für knapp 475.- ink. Abo für ein Jahr.
http://www.brack.ch/zyxel-zywall-usg-60-utm-bundle-295683
Bei beiden hätten wir zudem einen AV auf "Gatewayebene" wenn ich das richtig verstehe.
Länger als 12 Monate würde ich eh keinen Vertrag aktuell abschliessen. Wenn wir nach 12 Monaten merken passt nicht zu
unseren Anforderungen bzw. kann die Welt in 12 Monaten ganz anderst aussehen - ok dann schaut man sich eben nach weiteren
Alternativen um.
Als Budget für die "Firewall" haben wir uns bis zu 800.- gesetzt. Nun stelle ich aber fest, dass die meisten
scheinbar mit "Abos" arbeiten - je nach Anforderungen bucht man zusätzliche Pakete hinzu.
Okay machen wir genauso, nicht schlimm.
Ich habe mir die Black Dwarf UTM Firewall angeschaut ...
Alternativ gibt es die Zywall USG 60 im Bundle für knapp 475.- ink. Abo für ein Jahr.
http://www.brack.ch/zyxel-zywall-usg-60-utm-bundle-295683
Bei beiden hätten wir zudem einen AV auf "Gatewayebene" wenn ich das richtig verstehe.
Länger als 12 Monate würde ich eh keinen Vertrag aktuell abschliessen. Wenn wir nach 12 Monaten merken passt nicht zu
unseren Anforderungen bzw. kann die Welt in 12 Monaten ganz anderst aussehen - ok dann schaut man sich eben nach weiteren
Alternativen um.
Ich hab in den letzten Jahren viele Systeme auf die eigenen Projektanforderungen hin vergleichend evaluiert und teilweise auch implementiert und/oder administriert. Beginnend bei Cisco, über Juniper, Stonesoft, Astaro/Sophos etc. bis hin zu kostenlosen Alternativen wie pfSense, Monowall und IPCop. Alle hatten unterschiedliche Stärken und Schwächen. Teilweise differierte auch der Funktionsumfang signifikant. Selbst wenn die gleichen Features im Datenblatt stehen, kann sich dahinter im Detail ein ganz anderer Funktionsumfang verbergen. Von Anspekten wie Usability usw. mal ganz abgesehen. Wobei ich zugeben muss, dass zwischen einzelnen Tests teilweise Jahre lagen, so dass vor meinem geistigen Auge alte Versionsstände mit "frischen" Produkten konkurrieren. Auch war es teilweise schwer, die Funktionsunterschiede zwischen den Modellen des gleichen Herstellers herauszubekommen oder auch nur die Lizenzmodelle im Einzelnen zu durchschauen. Deshalb werde ich mich auch nicht zu Produkten äußern, die ich nicht regelmäßig in Gebrauch habe.
Je nach benötigtem Funktionsumfang und Budget habe ich mich derzeit im Wesentlichen auf folgende Produkte eingeschossen (in Reihenfolge der Einsatzhäufigkeit):
- ZyXEL ZyWALL/USG
- Dell/Sonicwall NSA und SRA
- Fortinet Fortigate
- Mikrotik RouterOS
Von allen Vier könnte ich seitenweise haarsträubende Geschichten, aber auch einiges Positives erzählen. Für eine Empfehlung für den einen oder anderen Hersteller bzw. das eine oder andere Produkt, kommt es halt sehr auf die konkreten Anforderungen an. Am ehesten abraten würde ich von Fortinet. Da sitzt bei mir die Verbitterung über die diesbezüglichen Negativerfahrungen doch ziemlich tief.
Für den Einsatz bei KMU mit begrenztem Budget und Präferenz zur Selbstadministration empfiehlt sich von den Genannten m.E. am ehesten die USG-Serie von ZyXEL. Diese Geräte haben einen vergleichsweise hohen Funktionsumfang, sind aber dennoch einfach zu administrieren und bieten die geringsten TCO (aufgrund z.B. kostenloser Firmwareupdates und kostenlosem deutschsprachigem Support per e-Mail). Auf der Negativliste stehen insbesondere die unter Sicherheitsgesichtspunkten sehr bedenkliche Defaultkonfiguration und der Umstand, dass die meisten sogenannten zertifizierten Reseller kaum mehr Ahnung von der Materie haben, als die Poweruser und Fritzbox-Fanboys.
Zu den hier bisher genannten Modellen USG100 und USG60 einige Anmerkungen von mir:
1) Die USG100 ist uralt, schnarchlangsam und daher zu Recht end of life. Also Finder weg! Der Nachfolger ist die USG110.
2) Die USG60 könnte für das vorliegende Vorhaben eine gute Wahl sein. Jedoch will ich einige Nachteile (neben den offensichtlichen, die man leicht dem Datenblatt entnehmen kann) gegenüber den größeren USGs nicht verschweigen:
- kein Device-HA
- keine SSL-Inspection
- nur 2 Jahre Standardgarantie (ab USG110 aufwärts: 5 Jahre Garantie incl. 5 Jahre NBD Vorabaustausch bei Registrierung im Kaufpreis inklusive)
Für die USG60 spricht in diesem Szenario eventuell, dass sie silent ist. Alle größeren Modelle haben mindestens einen Lüfter.
Gruß
sk
Wenn die Zyxel ZyWall noch im Rennen ist, dann nimm doch eine ZyWall USG 60 statt der ZyWall USG 100.
Die 60er ist das neuere Modell, mit besseren Leistungsdaten (Durchsatz) etc.
Kann auch als WLAN-AP (ZyWall USG 60W) und als WLAN-Controller für weitere APs dienen.
http://www.zyxel.com/de/de/products_services/usg60w_60_40w_40.shtml?t=p
Grüße, FFK
Die 60er ist das neuere Modell, mit besseren Leistungsdaten (Durchsatz) etc.
Kann auch als WLAN-AP (ZyWall USG 60W) und als WLAN-Controller für weitere APs dienen.
http://www.zyxel.com/de/de/products_services/usg60w_60_40w_40.shtml?t=p
Grüße, FFK
Entscheidung = pFsense
Eine gute Wahl !Install per Null-Modemkabel
Ooops...wie macht man das ??Der normale Netzwerk Mensch flasht sich ein Image auf CF oder SD Karte, steckt es aufs Mainboard und macht die Installation per WebGUI mit gemütlichen Mausklicks ?!
Bist du Masochist oder warum nimmst du das Terminal ?! Reicht eigentlich wenn man damit die Interface Zuordnung macht und zum Troubleshooting.
Konfiguration von Putty (die Richtige) war etwas tricky,
Deshalb steht im Tutorial auch TeraTerm:http://ttssh2.sourceforge.jp/index.html.en
Das ist für Terminal Laien besser und einfacher zu handeln ! Gerade was Baudrate und Termi Parameter anbetrifft ! Und Probleme mit dem Zeichensatz wie du es hattest gibts da auch nicht !
WICHTIG: Immer Flow Control sowohl in HW als auch SW abschalten !!