Empfehlung Enterprise Firewall und VPN Gateway 30.000 User?
Welches Schweinderl hättens denn gern?
Wer nimmt welche Lösung zur Absicherung des Internetzugangs eines multinationalen Konzerns mit ca.30.000 Usern und ca. 1000 Site-to-Site VPN Tunnels?
- Checkpoint
- Cisco (ASA oder doch FWSM / VPN Service Module?)
- Phion (austrischer Exot... ??)
- Juniper/Netscreen
Oder was gibz sonst noch so? Wer benutzt was warum?
Mich interessiert vor allem - wer hat besonders gute oder besonders schlechte Erfahrungen mit einem dieser Produkte gemacht im benannten Umfeld?
Wer nimmt welche Lösung zur Absicherung des Internetzugangs eines multinationalen Konzerns mit ca.30.000 Usern und ca. 1000 Site-to-Site VPN Tunnels?
- Checkpoint
- Cisco (ASA oder doch FWSM / VPN Service Module?)
- Phion (austrischer Exot... ??)
- Juniper/Netscreen
Oder was gibz sonst noch so? Wer benutzt was warum?
Mich interessiert vor allem - wer hat besonders gute oder besonders schlechte Erfahrungen mit einem dieser Produkte gemacht im benannten Umfeld?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99634
Url: https://administrator.de/contentid/99634
Ausgedruckt am: 08.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo Spacyfreak,
Neben dem Preis und der Ersatzteil Verfügbarkeit dürften vor allen auch die Technischen Parameter Wichtig entscheidend sein.
Phion kann ich nicht wirklich beurteilen habe aber mit der letzten argen Stress gehabt Sie zur Zusammenarbeit mit einer
Pix zu bewegen, es hat letztlich aber dann doch geklappt.
Juniper, Checkpoint und Cisco spielen meiner Meinung in einer ganz anderen Liga und das auch zu Recht.
Mit Juniper habe ich gar keine Erfahrung mit Checkpoint wenig aber gute Erfahrung.
Wir haben im Unternehmen einen ASA Cluster mit mehreren Hundert Site-to-Site Tunneln Weltweit verteilt und in alle möglichen Länder mit unterschiedlichsten Endgeräten auf der anderen Seite und es läuft stabil. Unsere Kunden haben so ziemlich alles an Firewall Lösungen und meistens ist das Problem auf seiten der Kunden Firewall und sehr selten auf unserer ASA. Außerdem ist die ASA schnell und einfach um weitere Tunnel zu ergänzen, einfach per aus einem txt file heraus den neuen Tunnel rein kopieren und es passt.
Wenn ich das sehe was ich zum Beispiel auf einer Fortigate für Klimmzüge anstellen muss, dann auf jeden Fall immer wieder eine ASA.
Inzwischen habe ich mir zuhause auch eine ASA hingestellt und sie funktioniert einwandfrei.
brammer
Neben dem Preis und der Ersatzteil Verfügbarkeit dürften vor allen auch die Technischen Parameter Wichtig entscheidend sein.
Phion kann ich nicht wirklich beurteilen habe aber mit der letzten argen Stress gehabt Sie zur Zusammenarbeit mit einer
Pix zu bewegen, es hat letztlich aber dann doch geklappt.
Juniper, Checkpoint und Cisco spielen meiner Meinung in einer ganz anderen Liga und das auch zu Recht.
Mit Juniper habe ich gar keine Erfahrung mit Checkpoint wenig aber gute Erfahrung.
Wir haben im Unternehmen einen ASA Cluster mit mehreren Hundert Site-to-Site Tunneln Weltweit verteilt und in alle möglichen Länder mit unterschiedlichsten Endgeräten auf der anderen Seite und es läuft stabil. Unsere Kunden haben so ziemlich alles an Firewall Lösungen und meistens ist das Problem auf seiten der Kunden Firewall und sehr selten auf unserer ASA. Außerdem ist die ASA schnell und einfach um weitere Tunnel zu ergänzen, einfach per aus einem txt file heraus den neuen Tunnel rein kopieren und es passt.
Wenn ich das sehe was ich zum Beispiel auf einer Fortigate für Klimmzüge anstellen muss, dann auf jeden Fall immer wieder eine ASA.
Inzwischen habe ich mir zuhause auch eine ASA hingestellt und sie funktioniert einwandfrei.
brammer
Hallo Spacyfreak,
das löschen eines VPN Tunnels geht recht einfach.
wir haben alle Kundendaten in eigenen Verzeichnissen gespeichert und ich kann jederzeit die Config Daten die für diesen Kunden in der ASA sind mit einem "no" am Anfang der Zeile wieder rausnehmen, und weg ist der Tunnel.
Das Debbuging ist eh immer Erfahrungssache und in sofern bei allen Geräten mit viel Einarbeitung verbunden, aber deswegen schätze ich aber auch die ASA weil es darüber wenigstens komplette Dokumentationen gibt, und zu dem noch ausgezeichnete Hilfe Foren. Und wenn alle Stricke Reißen kann man auch noch Cisco direkt anrufen.
Das andere Hersteller ob jetzt Phion, Checkpoint oder Juniper das auch bieten ist mir klar aber kenne ich mich bei denen nicht aus.
Interessant könnte vielleicht dieser Vergleich sein:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120 ...
brammer
das löschen eines VPN Tunnels geht recht einfach.
wir haben alle Kundendaten in eigenen Verzeichnissen gespeichert und ich kann jederzeit die Config Daten die für diesen Kunden in der ASA sind mit einem "no" am Anfang der Zeile wieder rausnehmen, und weg ist der Tunnel.
Das Debbuging ist eh immer Erfahrungssache und in sofern bei allen Geräten mit viel Einarbeitung verbunden, aber deswegen schätze ich aber auch die ASA weil es darüber wenigstens komplette Dokumentationen gibt, und zu dem noch ausgezeichnete Hilfe Foren. Und wenn alle Stricke Reißen kann man auch noch Cisco direkt anrufen.
Das andere Hersteller ob jetzt Phion, Checkpoint oder Juniper das auch bieten ist mir klar aber kenne ich mich bei denen nicht aus.
Interessant könnte vielleicht dieser Vergleich sein:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120 ...
brammer
Hallo Spacyfreak,
sicher ist der Bericht von Miercom nicht neutral (auch wenn Miercom in der Presse als unabhängig dargestellt wird).
Wenn du die einzelnen Parameter vergleichst und das nicht zur Entscheidung reicht dann solltest du mal über den Aufwand nachdenken der
Ein Wechsel von einem funktionierenden zu einem neuen System realisieren willst. Eine funktionierende Infrastruktur scheint es ja zu geben.
Wenn du nun den Ausgangspunkt der VPN Tunnel gegen einen anderen Hersteller austauscht wirst du für alle Tunnel den ein oder anderen Parameter
ändern müssen und zwar auf deiner Zentralen Firewall und auch auf allen Endpunkten. Wenn du eine Firewall gegen das Nachfolge Modell des selben Herstellers austauscht dürfte der Aufwand nicht so groß sein.
Dann stellt sich die Frage, hast du die Zeit und das Geld alle Tunnelendpunkte zu überarbeiten??
brammer
sicher ist der Bericht von Miercom nicht neutral (auch wenn Miercom in der Presse als unabhängig dargestellt wird).
Wenn du die einzelnen Parameter vergleichst und das nicht zur Entscheidung reicht dann solltest du mal über den Aufwand nachdenken der
Ein Wechsel von einem funktionierenden zu einem neuen System realisieren willst. Eine funktionierende Infrastruktur scheint es ja zu geben.
Wenn du nun den Ausgangspunkt der VPN Tunnel gegen einen anderen Hersteller austauscht wirst du für alle Tunnel den ein oder anderen Parameter
ändern müssen und zwar auf deiner Zentralen Firewall und auch auf allen Endpunkten. Wenn du eine Firewall gegen das Nachfolge Modell des selben Herstellers austauscht dürfte der Aufwand nicht so groß sein.
Dann stellt sich die Frage, hast du die Zeit und das Geld alle Tunnelendpunkte zu überarbeiten??
brammer
Hi brammer,
Umstieg an sich ist eigentlich kein Problem. Welche Hardware an den Außenstellen gibt, spielt selten eine Rolle da sich die Hersteller zu 99% an die Normen halten (IPSec ist IPSec - egal ob Cisco oder Juni). In seinem Fall soll nur die Zentrale neu aufgebaut werden?! D.h. Tunnels nach und nach umziehen, das kann man in 2 Wochen machen oder aber nach und nach, wenn man Zeit hat. Da ist eben die Frage, wann der Support für die aktuelle Hardware ausläuft...danach würde ich den Umzugsplan festhalten.
Ich denke "Geld" ist relativ....wenn man immer wieder Ausfälle bzw. Probleme hat ist das der 2. Faktor - der 1. wäre dann die Produktivität.
Gruss,
Dani
Eine funktionierende Infrastruktur scheint es ja zu geben.
Hmm....ich denke, es scheint Probleme zu geben. Sonst würde er uns nicht um Erfahrungen beten. Umstieg an sich ist eigentlich kein Problem. Welche Hardware an den Außenstellen gibt, spielt selten eine Rolle da sich die Hersteller zu 99% an die Normen halten (IPSec ist IPSec - egal ob Cisco oder Juni). In seinem Fall soll nur die Zentrale neu aufgebaut werden?! D.h. Tunnels nach und nach umziehen, das kann man in 2 Wochen machen oder aber nach und nach, wenn man Zeit hat. Da ist eben die Frage, wann der Support für die aktuelle Hardware ausläuft...danach würde ich den Umzugsplan festhalten.
Ich denke "Geld" ist relativ....wenn man immer wieder Ausfälle bzw. Probleme hat ist das der 2. Faktor - der 1. wäre dann die Produktivität.
Gruss,
Dani
Zitat von @aqui:
Fortinet und Crossbeam solltest du in jedem Falle noch mit ins
Kalkül ziehen. Was die Performance angeht sind die sehr gut.
Bei dem Anforderungen bleibt dir da realistisch nur Checkpoint,
Juniper, und die beiden oben genannten. Cisco eher nicht...
Fortinet und Crossbeam solltest du in jedem Falle noch mit ins
Kalkül ziehen. Was die Performance angeht sind die sehr gut.
Bei dem Anforderungen bleibt dir da realistisch nur Checkpoint,
Juniper, und die beiden oben genannten. Cisco eher nicht...
Immer spannend zu sehen welche Meinungen sich bilden.
Wenn ich mal von 1000 site-2-site Tunneln ausgeh und überspitzt auf 1000 Standorte schließe ist die Performance sicherlich nur an einem Punkt interessant, und zwar dort wo alles zusammenläuft. Die Aussenstellen haben in der Regel nicht mehr als 10Mbit und das schafft doch heutzutage jedes windige Teil
- Bei Cisco könnte man sich Todscripten klar Easy-Deployment aber anschließend die Verwaltung - Ich weis nicht, schließlich flattern jede Woche Securty Issues von deren Router um den Globus.
- Checkpoint ist derzeit kräftig am Schrauben und Coden, wollen wohl ihr Management noch etwas tunen und endlich mal interne Strukturen bereinigen.
- Juniper sehe ich als Klasse Boxen an, zumindest das was sie mal hatten. Die neue SSG Serie naja hab ich mir noch gar ned so richtig angeschaut. Aber man munkelt komisches im Bezug auf das was Juniper noch mit den Netscreen Kisten vorhat. ( Sag nur Netscreen OS vs. JunOS )
- Fortinet sehe ich absolut nicht in der Ecke, deren ;Management würde bei 1000 Boxen glaube ich auseinanderbrechen, lasse mich aber gerne vom Gegenteil belehren.
- Crossbream hat sehr performante Kisten, tummelt sich aber doch eher im Provider/Backbone Umfeld, das ist auch deren Markt.
- phion ist stark im Aufbau von verfügbaren VPN Strukturen ( auch nach China ) sowie im skalierbaren Management, die internationale Beschaffung wäre hier interessant
- Gateprotect ist mir zu viel <MickeyMouse Klicky Bunti> und da würde ich auch bezweifeln dass das mit 1000 Gateways noch administrierbar ist
Kurz gesagt: Ich denke Deine 4 obengenanten Favoriten sollten das alles realisieren können. Zwei davon vermute ich sind bestimmt schon im Einsatz. Von dem her kann es sicher nicht schaden die anderen Zwei näher zu begutachten um Stärken und Schwächen genau herauszufiltern.
Nicht jeder Kunde und nicht jedes Projekt setzt auf die selben Schwerpunkte
Grüße edfauler