spacyfreak
Goto Top

Empfehlung Enterprise Firewall und VPN Gateway 30.000 User?

Welches Schweinderl hättens denn gern?

Wer nimmt welche Lösung zur Absicherung des Internetzugangs eines multinationalen Konzerns mit ca.30.000 Usern und ca. 1000 Site-to-Site VPN Tunnels?

- Checkpoint
- Cisco (ASA oder doch FWSM / VPN Service Module?)
- Phion (austrischer Exot... ??)
- Juniper/Netscreen

Oder was gibz sonst noch so? Wer benutzt was warum?

Mich interessiert vor allem - wer hat besonders gute oder besonders schlechte Erfahrungen mit einem dieser Produkte gemacht im benannten Umfeld?

Content-ID: 99634

Url: https://administrator.de/contentid/99634

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

brammer
brammer 18.10.2008 um 20:53:26 Uhr
Goto Top
Hallo Spacyfreak,

Neben dem Preis und der Ersatzteil Verfügbarkeit dürften vor allen auch die Technischen Parameter Wichtig entscheidend sein.
Phion kann ich nicht wirklich beurteilen habe aber mit der letzten argen Stress gehabt Sie zur Zusammenarbeit mit einer
Pix zu bewegen, es hat letztlich aber dann doch geklappt.
Juniper, Checkpoint und Cisco spielen meiner Meinung in einer ganz anderen Liga und das auch zu Recht.
Mit Juniper habe ich gar keine Erfahrung mit Checkpoint wenig aber gute Erfahrung.
Wir haben im Unternehmen einen ASA Cluster mit mehreren Hundert Site-to-Site Tunneln Weltweit verteilt und in alle möglichen Länder mit unterschiedlichsten Endgeräten auf der anderen Seite und es läuft stabil. Unsere Kunden haben so ziemlich alles an Firewall Lösungen und meistens ist das Problem auf seiten der Kunden Firewall und sehr selten auf unserer ASA. Außerdem ist die ASA schnell und einfach um weitere Tunnel zu ergänzen, einfach per aus einem txt file heraus den neuen Tunnel rein kopieren und es passt.
Wenn ich das sehe was ich zum Beispiel auf einer Fortigate für Klimmzüge anstellen muss, dann auf jeden Fall immer wieder eine ASA.
Inzwischen habe ich mir zuhause auch eine ASA hingestellt und sie funktioniert einwandfrei.

brammer
spacyfreak
spacyfreak 18.10.2008 um 21:01:40 Uhr
Goto Top
Danke Brammer!

Ja, ASA klingt freilich vernünftig und da kann man wenig falsch machen.
Problematisch finde ich jedoch das Troubleshooting - du hast schon recht mit deinem txt file das man in die cli reinkloppt und passt - doch in der config hat man dann die parameter von tausend vpn tunenls, und das troubleshooting und löschen nicht mehr benötigter VPNs kann zur Durchdreh-Aktion mutieren...
ASDM fand ich bislang auch nicht gerade hitverdächtig, wenn man sich die polierten und selbsterklärenden Web-Management Lösungen der Konkurenz anguggt.

Phion find ich schon sehr interessant - doch die sind halt winzig und es ist immer riskant auf einen Exot zu setzen, grade an solch einer sensiblen Stelle setzt man lieber auf "etablierte" Marktführer. Andrereseits verheisst Phion ein supergeiles modernes Management das man bei der Konkurenz vergeblich sucht.
Und die deutsche Postbank hat auch tausende von Phion VPNs in ihren Geldautomaten drin - das schlechteste kanns daher nicht sein...


Schwierig, schwierig!
brammer
brammer 18.10.2008 um 21:52:27 Uhr
Goto Top
Hallo Spacyfreak,

das löschen eines VPN Tunnels geht recht einfach.
wir haben alle Kundendaten in eigenen Verzeichnissen gespeichert und ich kann jederzeit die Config Daten die für diesen Kunden in der ASA sind mit einem "no" am Anfang der Zeile wieder rausnehmen, und weg ist der Tunnel.
Das Debbuging ist eh immer Erfahrungssache und in sofern bei allen Geräten mit viel Einarbeitung verbunden, aber deswegen schätze ich aber auch die ASA weil es darüber wenigstens komplette Dokumentationen gibt, und zu dem noch ausgezeichnete Hilfe Foren. Und wenn alle Stricke Reißen kann man auch noch Cisco direkt anrufen.
Das andere Hersteller ob jetzt Phion, Checkpoint oder Juniper das auch bieten ist mir klar aber kenne ich mich bei denen nicht aus.

Interessant könnte vielleicht dieser Vergleich sein:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120 ...

brammer
spacyfreak
spacyfreak 19.10.2008 um 07:30:15 Uhr
Goto Top
Danke,

naja, der Vergleichstest ist ehrlichgesagt wenig aussagekräftig. Da steht ja kleingedruckt schon drin..
"Competitive Testing Note: The tests and test methodology that produced these results were proposed by, co-
developed with and/or influenced by the vendor sponsoring this comparative review. Miercom assured their fair andaccurate application. These are not the only tests or results that should guide a product selection or purchase. "

Gartner sieht Juniper/Netscreen vorne, dicht gefolgt von Checkpoint. Cisco ist auch mit dabei und hat die höchste "ability to execute", aber weniger Innovation - was nichts schlechtes heissen muss. Die sollen auch nicht zuviel "innovieren" sondern die Standards (FW/VPN) stabil und bedienbar zustandebringen - mehr will man ja garnicht.. face-wink
http://mediaproducts.gartner.com/reprints/juniper/vol2/article5/article ...
brammer
brammer 19.10.2008 um 11:18:34 Uhr
Goto Top
Hallo Spacyfreak,

sicher ist der Bericht von Miercom nicht neutral (auch wenn Miercom in der Presse als unabhängig dargestellt wird).

Wenn du die einzelnen Parameter vergleichst und das nicht zur Entscheidung reicht dann solltest du mal über den Aufwand nachdenken der
Ein Wechsel von einem funktionierenden zu einem neuen System realisieren willst. Eine funktionierende Infrastruktur scheint es ja zu geben.
Wenn du nun den Ausgangspunkt der VPN Tunnel gegen einen anderen Hersteller austauscht wirst du für alle Tunnel den ein oder anderen Parameter
ändern müssen und zwar auf deiner Zentralen Firewall und auch auf allen Endpunkten. Wenn du eine Firewall gegen das Nachfolge Modell des selben Herstellers austauscht dürfte der Aufwand nicht so groß sein.
Dann stellt sich die Frage, hast du die Zeit und das Geld alle Tunnelendpunkte zu überarbeiten??

brammer
Dani
Dani 19.10.2008 um 11:50:58 Uhr
Goto Top
Hi brammer,
Eine funktionierende Infrastruktur scheint es ja zu geben.
Hmm....ich denke, es scheint Probleme zu geben. Sonst würde er uns nicht um Erfahrungen beten. face-smile

Umstieg an sich ist eigentlich kein Problem. Welche Hardware an den Außenstellen gibt, spielt selten eine Rolle da sich die Hersteller zu 99% an die Normen halten (IPSec ist IPSec - egal ob Cisco oder Juni). In seinem Fall soll nur die Zentrale neu aufgebaut werden?! D.h. Tunnels nach und nach umziehen, das kann man in 2 Wochen machen oder aber nach und nach, wenn man Zeit hat. Da ist eben die Frage, wann der Support für die aktuelle Hardware ausläuft...danach würde ich den Umzugsplan festhalten.

Ich denke "Geld" ist relativ....wenn man immer wieder Ausfälle bzw. Probleme hat ist das der 2. Faktor - der 1. wäre dann die Produktivität.


Gruss,
Dani
spacyfreak
spacyfreak 19.10.2008 um 12:59:23 Uhr
Goto Top
Yo, eine Migration mit einer solch komplexen Ausgangslage ist kein Zuckerschlecken, man kann sich das Leben jedoch halbwegs leicht machen indem man strukturiert und kontinuierlich nach und nach alle Tunnels auf die neue Plattform mitgriert - alles auf einmal ist eh nicht machbar, bzw. es werden mit Sicherheit eingie Parameter von hand nachzujustieren sein.

Mal was anderes - wie siehts mit Updates aus? Wenn von Zeit zu Zeit ein Firmware Update ansteht, kann man das ohne Wartungstermin machen? Z. B. einen Cluster-Knoten aktualisieren, und dann den anderen wobei der jeweils aktive Knoten die FW udn VPN Funktionalität aufrechterhält? Ich geh davon aus dass bei IPsEC immer mit einem - wenn auch im idealfall kurzen - Ausfall der Tunnels zu rechen ist.
aqui
aqui 19.10.2008 um 19:17:20 Uhr
Goto Top
Fortinet und Crossbeam solltest du in jedem Falle noch mit ins Kalkül ziehen. Was die Performance angeht sind die sehr gut.

Bei dem Anforderungen bleibt dir da realistisch nur Checkpoint, Juniper, und die beiden oben genannten. Cisco eher nicht...
71864
71864 13.11.2008 um 01:15:53 Uhr
Goto Top
Zitat von @aqui:
Fortinet und Crossbeam solltest du in jedem Falle noch mit ins
Kalkül ziehen. Was die Performance angeht sind die sehr gut.

Bei dem Anforderungen bleibt dir da realistisch nur Checkpoint,
Juniper, und die beiden oben genannten. Cisco eher nicht...

Immer spannend zu sehen welche Meinungen sich bilden. face-smile
Wenn ich mal von 1000 site-2-site Tunneln ausgeh und überspitzt auf 1000 Standorte schließe ist die Performance sicherlich nur an einem Punkt interessant, und zwar dort wo alles zusammenläuft. Die Aussenstellen haben in der Regel nicht mehr als 10Mbit und das schafft doch heutzutage jedes windige Teil face-smile

- Bei Cisco könnte man sich Todscripten klar Easy-Deployment aber anschließend die Verwaltung - Ich weis nicht, schließlich flattern jede Woche Securty Issues von deren Router um den Globus.

- Checkpoint ist derzeit kräftig am Schrauben und Coden, wollen wohl ihr Management noch etwas tunen und endlich mal interne Strukturen bereinigen.

- Juniper sehe ich als Klasse Boxen an, zumindest das was sie mal hatten. Die neue SSG Serie naja hab ich mir noch gar ned so richtig angeschaut. Aber man munkelt komisches im Bezug auf das was Juniper noch mit den Netscreen Kisten vorhat. ( Sag nur Netscreen OS vs. JunOS )

- Fortinet sehe ich absolut nicht in der Ecke, deren ;Management würde bei 1000 Boxen glaube ich auseinanderbrechen, lasse mich aber gerne vom Gegenteil belehren.

- Crossbream hat sehr performante Kisten, tummelt sich aber doch eher im Provider/Backbone Umfeld, das ist auch deren Markt.

- phion ist stark im Aufbau von verfügbaren VPN Strukturen ( auch nach China ) sowie im skalierbaren Management, die internationale Beschaffung wäre hier interessant

- Gateprotect ist mir zu viel <MickeyMouse Klicky Bunti> und da würde ich auch bezweifeln dass das mit 1000 Gateways noch administrierbar ist

Kurz gesagt: Ich denke Deine 4 obengenanten Favoriten sollten das alles realisieren können. Zwei davon vermute ich sind bestimmt schon im Einsatz. Von dem her kann es sicher nicht schaden die anderen Zwei näher zu begutachten um Stärken und Schwächen genau herauszufiltern.

Nicht jeder Kunde und nicht jedes Projekt setzt auf die selben Schwerpunkte

Grüße edfauler