pianoman82
Goto Top

Durchsatzstarke Firewall gesucht

Hallo Kollegen, ich bin auf der Suche nach einer Hardware-Firewall welche eine Anbindung zum ISP mit 2 GBit/s verträgt. Das Testgerät welches ich von WatchGuard erhalten habe hält der Geschwindigkeit leider nicht stand. Ich freue mich über Vorschläge. Herzliche Grüße

Content-ID: 273801

Url: https://administrator.de/forum/durchsatzstarke-firewall-gesucht-273801.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

wiesi200
wiesi200 04.06.2015 um 19:22:43 Uhr
Goto Top
Eigenbau mit PFSense?
Und nen schönen Server als Unterbau.
StefanKittel
StefanKittel 04.06.2015 aktualisiert um 19:25:10 Uhr
Goto Top
Hallo,

was sind die Anforderungen?
Nur Firewall oder auch UTM?

Securepoint oder Gateprotect würde ich empfehlen.
Securepoint gibt es auch als VM und damit eigentlich ohne Limit was die Leistung angeht.

Ich muss aber dazusagen, dass ich so eine Anforderung noch nicht hatte.

Viele Grüße

Stefan
sk
sk 04.06.2015 aktualisiert um 19:30:09 Uhr
Goto Top
Definiere die Durchsatzanforderungen: 2 GBit/s nur SPI-Firewall oder auch DPI (und wenn ja, was genau)?
Welche sonstigen funktionalen Anforderungen?
119944
119944 04.06.2015 aktualisiert um 21:03:23 Uhr
Goto Top
Kann die Sophos Firewalls nur empfehlen.
Bei den Großen Modellen gibts auch für die 2GB SFP+ Ports und genug Durchsatz.
https://www.sophos.com/de-de/products/unified-threat-management/tech-spe ...

Je nach Anwendungszweck hast du alles schön übersichtlich.
Das du keine Firewall mit 2GB Durchsatz für 200€ bekommst sollte dir ja wohl klar sein.

VG
Val
pianoman82
pianoman82 04.06.2015 um 21:23:12 Uhr
Goto Top
Da bin ich jetzt auch nicht ernsthaft von ausgegangen, das solch eine Lösung im deutlich vierstelligen Bereich liegt ist mir klar face-smile
Dani
Dani 04.06.2015 aktualisiert um 22:48:33 Uhr
Goto Top
Moin,
Das Testgerät welches ich von WatchGuard erhalten habe hält der Geschwindigkeit leider nicht stand.
Welches Modell hast du von denen zum Test erhalten?

das solch eine Lösung im deutlich vierstelligen Bereich liegt ist mir klar
Das wird aber sehr, sehr eng...

Gerade bei Standorten mit ähnlichen Bandbreiten haben wir redudante Firewalls und benötigen noch Routingprotokolle wie BGP oder OSPF. Wenn der gesamte Traffic noch durch ein IPS, Virenscanner, gehen muss/soll kommt eine gewisse Grundlast zu Stande.Daher überlegt man sich oft, den MPLS/VPN und Internetdatenverkehr auf separate WAN-Leitungen zu verteilen. Spiegelt sich natürlich bei den Internetleitung und Firewallpreisen wieder - kleine Leitungen und Geräte -> kleinerer Preis.

Unabhängig davon gibt es auch organisatorische Fragen:
  • Soll z.B. die Firewall rund um die Uhr von eigenen Personal oder nachts/Feiertage/Wochenende z.B. von einer Firma gemonitort werden?
  • Was kommt an Schulungsaufwand auf dich zu?
  • Reicht mir der Business Support von pfSense oder muss eine Reaktion des Herstellers innerhalb einer Stunde erfolgen?
  • Einfaches oder komplexes Routingverfahren?


Gruß,
Dani

P.S. Wir nutzen in unserem Unternehmen - unabhängig von der Bandbreite - das Produkt NG Firewall von Barracuda. Was dort fehlt sind Zertifizierungen wie EAL+ oder FIPS. Aber das ist ein anderes Thema.
Kuemmel
Kuemmel 04.06.2015 um 22:39:02 Uhr
Goto Top
Also mit @wiesi200 seiner Lösung bekommst du das locker hin.

Gruß
Kümmel
Th0mKa
Th0mKa 05.06.2015 aktualisiert um 06:29:40 Uhr
Goto Top
Zitat von @pianoman82:

Da bin ich jetzt auch nicht ernsthaft von ausgegangen, das solch eine Lösung im deutlich vierstelligen Bereich liegt ist mir
klar face-smile

Naja., wenn du eine Firewall suchst die mehr macht als ein wenig Pakete filtern bist du eher im deutlich 5-stelligen Bereich.

VG,

Thomas
1Werner1
1Werner1 05.06.2015 aktualisiert um 08:14:01 Uhr
Goto Top
Moin !

ich kann da nur zustimmen, ich habe vorher Watchguard im Einsatz gehabt, eine Verlängerung auf 3 Jahr kostete 1700 Euro, soviel wie mir eine Sophos Firewall Utm 110/120 gekostet hat.Die Sophos Firewall ist einfach klasse, hat ein deutsches Menu, einen Virenscanner inklusive usw. Das Administrieren der Firewall ist sehr einfach. Ich habe dort eine Standleitung von 2Mbit und eine DSL 16000 Verbindung zusätzlich angeschlossen. Email Verkehr läuft über die Standleitung, und Surfen über die DSL Leitung.

Also ich kann Sophos nur empfehlen.

Gruss

Werner
kontext
kontext 05.06.2015 um 08:54:22 Uhr
Goto Top
Servus @pianoman82,

neben den Tipps bzgl. Eigenbau mit PFsense und Sophos, würde ich noch Fortinet in die fröhliche Runde schmeißen.
Die "größeren" Boxen z.b. FG-800C können zum Beispiel 2 x 10GbE SFP+ ...

Gruß
@kontext
aqui
aqui 05.06.2015 aktualisiert um 09:26:19 Uhr
Goto Top
Da fehlen dann ja nur noch Juniper, Checkpoint und Cisco ASA in der fröhlichen Runde und wir haben sie alle zusammen.... face-smile

Spannend bleibt ja auch die Frage wie man 2 GiG zum Provider bringt ??
Soll die FW dann ein 10Gig Interface haben oder wie ist das technisch gelöst ?? Hört sich so an als ob die dann auch noch ein Link Loadbalancing können muss ohne 10G oder wie soll das sonst mit 2 Gig gehen ??
Th0mKa
Th0mKa 05.06.2015 aktualisiert um 09:58:29 Uhr
Goto Top
Zitat von @aqui:

Soll die FW dann ein 10Gig Interface haben oder wie ist das technisch gelöst ??

Wird wohl, sonst waeren es ja 2x1G. Kann mir aber auch schwer vorstellen das eine Watchguard XTM 1050 oder groesser das nicht schaffen soll.
Aber der TO wird sich ja vielleicht nochmal zur Umgebung auessern...
Bootloop
Bootloop 05.06.2015 um 10:14:29 Uhr
Goto Top
PaloAlto darf auch nicht fehlen face-smile

Kann die Sophos UTM aber auch nur empfehlen, bin sehr zufrieden mit den Dingern.
Dani
Dani 05.06.2015 aktualisiert um 10:33:53 Uhr
Goto Top
@aqui
Soll die FW dann ein 10Gig Interface haben oder wie ist das technisch gelöst ?? Hört sich so an als ob die dann auch noch ein Link Loadbalancing können muss ohne 10G oder wie soll das sonst mit 2 Gig gehen ??
Ich tippe auf Glasfaseranschluss...
aqui
aqui 05.06.2015 um 11:43:34 Uhr
Goto Top
...müsste dann aber auch ein 10Gig Glasfaser sein was mit Rate Limiting auf 2 Gig rennt. Physisch 2Gig auf Glasfaser gibts ja auch nicht.
Oder doch Link Loadbalancing...???
119944
119944 05.06.2015 um 13:25:15 Uhr
Goto Top
Zitat von @aqui:

...müsste dann aber auch ein 10Gig Glasfaser sein was mit Rate Limiting auf 2 Gig rennt. Physisch 2Gig auf Glasfaser gibts ja
auch nicht.

Genauso ist es bei unserer Glasfasterverbindung. Physisch zum ISP ist es 1Gbps wird aber auf 25Mbps "gedrosselt".

VG
Val
102534
102534 05.06.2015 aktualisiert um 16:56:14 Uhr
Goto Top
Tach face-smile

Also da braucht man schon noch deutlich mehr Input:
- was werden für Features benötigt ( IP Based Rules? Port Based Rules? oder gar DPI?)
--> alleine das macht schon einen gewaltigen Unterschied aus.
- willst du nur Firewalling machen oder auch VPN Endpoint?
- wie viele aktive TCP/UDP Sessions wirst du vorraussichtlich haben? (--> hier wirds teuer!)
- brauchst du 10G Anschlüsse oder reicht auch ein Bond?
- brauchst du dynamische Routing Protokolle?
- was willst du alles loggen?
- was brauchst du für physikalische / logische Interfaces

Meine Erfahrung: Wenn du auf Cisco setzen willst - vergiss 4 stellige Beträge. Ich denke du bist mit guten Rabatten (ohne einer redundanten Lösung) bei 50000€

Ich habe hier eine Cisco ASA 5545-X im Active Standby Scenario. Wir machen nur simples Port basiertes Filtering, haben zwischen 200 MBit und 800 MBit Durchsatz. Wir machen statisches Routing und simples DoS Protection. bei 800 MBit sind wir bei rund 70% Last. Wenn wir unser Logging zur Analyse hochdrehen sind wir bei 600 MBit bei 90% Last.

Wir müssen jetzt dann Upgraden, der Traffic steigt stetig an... zwei Cisco ASA 5585-X im Active Active Design sollen es werden. Mit Wartungsvertrag werden das schicke 100000€.

Gruß

win-dozer
AlFalcone
AlFalcone 06.06.2015 aktualisiert um 15:40:44 Uhr
Goto Top
von Fortigate gibt es genügend Modelle für die 2GBit/s

http://www.fortinet.com/products/fortigate/100Series.html

Wir setzten bei uns einen FortiGate-3810D dreifach A-A Cluster ein und keinerlei Probleme damit.

Gegen den FortiASIC™ Prozessor sieht jede andere Hersteller alt aus.
http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate ...
102534
102534 06.06.2015 um 17:09:14 Uhr
Goto Top
Zitat von @AlFalcone:

Gegen den FortiASIC™ Prozessor sieht jede andere Hersteller alt aus.
http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate ...

Das würde ich als Hersteller auch sagen :D
Aber mal im Ernst:
Firewall Throughput 1518 Bytes 2.5 Gbps
heißt, das im Idealfall 2,5 Gigabit durchgehen. Das heißt er schaut nach Quell- Zieladresse und das wars. Und wenn die Pakete etwas kleiner werden schafft das schnuckelige Teil nicht mal die Hälfte: Firewall Throughput 512 Bytes: 1 Gbps

Dein Datenblatt verlinkt übrigens auf ASICs einer Firewall mit 100GB Interfaces...
Um mal wirklich Fortigate Modelle zu nennen die für den TO interessant sein könnten: FortiGate-300C und FortiGate-500D.

So wies aussieht hat der aber kein Interesse mehr an diesen Thread...
Dani
Dani 06.06.2015 um 17:28:12 Uhr
Goto Top
@102534
So wies aussieht hat der aber kein Interesse mehr an diesen Thread...
Er genießt vllt. einfach das lange Wochenende (Freibad, Schwiegereltern besuchen, Campen in Elmau, etc...).
Müsste ich nicht arbeiten, wäre ich auch nicht hier.

@AlFalcone
Das sind Werte, welche unter Laborbedingungen gemessen wurden. Persönlich wäre mir das zu knapp bemessen und lässt auch keinen Spielraum für Kapazitätserweiterungen. Gerade bei solchen Investionssummen bin ich der Ansicht, dass das Ding min. drei Jahre heben sollte.


Gruß,
Dani
AlFalcone
AlFalcone 06.06.2015 um 20:10:33 Uhr
Goto Top
Wir setzen die FortiGate-3810D nicht im Labor sondern in einer grossen IAAS Umgebung ein. (250TB Storage, 20 Hosts, 180 Maschinen)
Je 2 Provider aus Redundanz bei allen drei RZ.und dort laufen die Fortis schon 2 Jahre ohne das geringste Problem.


Cisco setzten wir nur noch im Netzwerk, aber nicht als Security ein. Da liegen Welten dahinter zwischen einer Forti und einer Cisco Firewall.
AlFalcone
AlFalcone 06.06.2015 um 20:12:03 Uhr
Goto Top
Zitat von @102534:

> Zitat von @AlFalcone:
>

Dein Datenblatt verlinkt übrigens auf ASICs einer Firewall mit 100GB Interfaces...
Um mal wirklich Fortigate Modelle zu nennen die für den TO interessant sein könnten: FortiGate-300C und FortiGate-500D.

So wies aussieht hat der aber kein Interesse mehr an diesen Thread...

Ist aber auch auf die FortiGate-3810D und nicht auf die schnucklige 100er.
102534
102534 06.06.2015 um 20:29:48 Uhr
Goto Top
Zitat von @AlFalcone:

Cisco setzten wir nur noch im Netzwerk, aber nicht als Security ein. Da liegen Welten dahinter zwischen einer Forti und einer
Cisco Firewall.

Jo... aber die Nexus Serie ist auch nicht gerade der Brüller... Wir stolpern hier vom einen zum nächsten Bug face-sad
AlFalcone
AlFalcone 06.06.2015 um 21:21:21 Uhr
Goto Top
Zitat von @102534:


Jo... aber die Nexus Serie ist auch nicht gerade der Brüller... Wir stolpern hier vom einen zum nächsten Bug face-sad

So ist es aber tja was solls.... die Nexus werden Ende Jahr durch Brocade ersetzt.
exellent
exellent 06.06.2015, aktualisiert am 07.06.2015 um 00:06:53 Uhr
Goto Top
Hi AlFacone,

das glaube ich kaum, dass ihr die 3810D's schon seit 2 Jahren benutzt da diese gerade erst released wurde.

Nichts desto trotz ist Fortinet die beste Wahl wenn es um "hohe" Performance zu guten Preisen geht.

Ich würde dir zur 500D raten. Damit hast du auch genug Luft um SSL Decryption, IPS, Application Control, etc. + geplantes Wachstum rennen zu lassen. Palo Alto ist am Perimeter auch immer eine sehr gute Wahl!

Finger weg von irgendwelchen Eigenbauten á la PFSense etc.

Grüße,
exellent
Th0mKa
Th0mKa 07.06.2015 um 00:39:08 Uhr
Goto Top
Zitat von @exellent:

Palo Alto ist am Perimeter auch immer eine sehr gute Wahl!


Aber bei gleicher Performance deutlich teurer als Fortinet.

VG,

Thomas
itelis
itelis 08.06.2015 um 11:54:28 Uhr
Goto Top
Hallo in die Runde,

wenn eine solch schnelle Firewall benötigt wird, dann würde ich immer auf Nummer sicher gehen und einen Test im System machen. Niemand kann die Performance vorab berechnen. Wer das behauptet, ist ein gutes Orakel.

Hier sind einige gute Vorschläge gemacht worden. Fortinet ist ein interessanter Kandidat. Ich würde hier noch weitere Kandidaten und Aspekte berücksichtigen.

Soll die Lösung auch einfach zu administrieren sein? Dann käme gateprotect evtl. in Frage. Einzigartige einfache Bedienung, deutsches Produkt, Support sitz in Hamburg.

Wenn es ausschließlich um Performance geht, dann würde ich auch auf Sonicwall schauen. Hier wird ein sehr hoher Durchsatz schon mit kleineren Modellen erreicht dank hochperformanter Firmware und Prozessorstruktur.

Um solche Lösungen zu testen, wird die Unterstützung der Hersteller notwendig. Ein realistisches Sizing und eine entsprechende Teststellung muss her. Hier sollte dann auch eine echte Kaufabsicht erkennbar sein. Wenn solche Lösungen angeboten werden, dann werden alle Vertriebler ganz wuschig. Sollte sich kein Systemhauspartner in der Nähe befinden, dann könnten wir auch eine solche Abwicklung anbieten. Wir haben bei solchen Projekten einige Erfahrung.

Nun erst einmal viel Erfolg beim Sondieren. Es gibt halt immer mehrere Möglichkeiten.

Gruß

Marc
derklient
derklient 08.06.2015 um 12:38:51 Uhr
Goto Top
Hallo

Eventuell wären die Sonicwall Systeme von Dell etwas.

Die haben vor Kurzem Nachwuchs bekommen mit neuen Modellen die deine Leistung erfüllen würden.

2Gbit Nur Firewall:
Sonicwall NSA3600(Preis ab 5T€)
Firewall: 3,4Gbps
IPS: 1,1 Gbps
DPI: 500Mbps

2Gbit IPS:
Sonicwall NSA4600(Preis ab 8T€)
Firewall: 6Gbps
IPS: 2Gbps
DPI: 800Mbps

2Gbit DPI:
Sonicwall NSA6600(Preis ab 23T€)
Firewall: 12Gbps
IPS: 4,5Gbps
DPI: 3Gbps

Lassen sich auch mit der entsprechenden Lizenz im HA Modus Betreiben für Ausfallsicherheit.


Hier hast du noch einen Link zu einem PDF für die Produkt Serie: http://marketing.sonicwall.com/documents/sonicwall-network-security-app ...

Als Anbieter für Firewall Systeme kannst dich auch an www.allfirewalls.de wenden, die führen fast alle Marken und haben vielleicht das passende System für deine Anwendung.

Ich hoffe ich konnte dir da Helfen.

Herzliche Grüße
DerKlient
Dani
Dani 08.06.2015 um 20:07:59 Uhr
Goto Top
Guten Abend ihr zwei,
die Geräte sind inzwischen auf Höhe anderer Hersteller.
Beim Support läuft es mir nach wie vor den Rücken runter... mehr.


Gruß,
Dani
pianoman82
pianoman82 11.06.2015 um 14:10:07 Uhr
Goto Top
Herzlichen Dank für die vielen Rückmeldungen, ich war jetzt einige Tage unterwegs und muss mir das erstmal alles in Ruhe durchlesen.
itelis
itelis 11.06.2015 um 14:25:22 Uhr
Goto Top
Hallo Dani,

mir ist der schlechte Support von Sonicwall bisher noch nicht bekannt gewesen. Alle Kunden mit einer solchen Lösung waren bisher zufrieden. Aber ich gebe zu, dass ist schon ein wichtiges Kriterium.

Bei gateprotect kann ich definitiv nichts schlechtes über den Support sagen. Hier empfinde ich den Support als überdurchschnittlich gut.

Gruß

Marc
108012
108012 02.09.2015 um 09:58:18 Uhr
Goto Top
Hallo,

ich bin auf der Suche nach einer Hardware-Firewall welche eine Anbindung zum ISP mit 2 GBit/s verträgt.
Sophos hat da einige UTMs im Programm und PaloAlto sicherlich auch.
Eine pfSense oder ZeroShell auf einem;
- Intel Xeon E3-1241v3
- Intel Xeon D-1540
- Intel C2758 Board
sollten das aber auch locker packen.

Das Testgerät welches ich von WatchGuard erhalten habe hält der Geschwindigkeit leider nicht stand.
Na dann zurück damit!

Ich freue mich über Vorschläge.
Da Du ja im Forum zwischenzeitlich schon wieder woanders aktiv gewesen bist und den Beitrag
hier nicht mehr beantworten möchtest würde eventuell ein Beitrag ist erledigt nicht zu viel abverlangen, oder?

Gruß
Dobby
aqui
aqui 02.09.2015 um 13:38:05 Uhr
Goto Top
Ob das nach 3 Monaten noch relevant ist ??
Der TO hatte wohl eh kein Interesse mehr an einer zielführenden Hilfe er hats ja nichtmal geschafft den Beitrag auf "Gelöst" zu setzen face-sad
Wie kann ich einen Beitrag als gelöst markieren?