18
Welche Firewall ?
Hi @ all,
bräuchte mal wieder Euren fachmännischen Rat / Tipp.
Es soll eine neue Firewall mit 10G Interface implementiert werden. Bisher Checkpoint
In diesem Zuge sollen auch andere Hersteller ggfs in Betracht kommen
Welche sind da zu empfehlen und auf was muss man achten (Preis, Durchsatz, ...?)
Bin da noch gar nicht drin in der Materie (nein ich muss es nicht entscheiden.. würde aber die pro oder contras wissen unvoreingenommen)
Höchste Prio liegt auf Sicherheit / Schnelle Updates / Patches etc. . für ca 2000 Mitarbeiter.
Danke
Greets
Cyb
bräuchte mal wieder Euren fachmännischen Rat / Tipp.
Es soll eine neue Firewall mit 10G Interface implementiert werden. Bisher Checkpoint
In diesem Zuge sollen auch andere Hersteller ggfs in Betracht kommen
Welche sind da zu empfehlen und auf was muss man achten (Preis, Durchsatz, ...?)
Bin da noch gar nicht drin in der Materie (nein ich muss es nicht entscheiden.. würde aber die pro oder contras wissen unvoreingenommen)
Höchste Prio liegt auf Sicherheit / Schnelle Updates / Patches etc. . für ca 2000 Mitarbeiter.
Danke
Greets
Cyb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 341213
Url: https://administrator.de/contentid/341213
Printed on: April 23, 2024 at 13:04 o'clock
18 Comments
Latest comment
Moin Cyb,
deine Frage ist so ungenau formuliert, dass die ersten 5-6 Kommentare alle gängigen Hersteller beinhalten werden. Aber es wird wie immer an einigen oder vielen Details scheitern oder Falten auf die Stirn zaubern.
Ich schlage erstmal vor, dass du unsere Suchfunktion nutzt. Da gibt es unzählige, aktive Fragen zu dem Thema. Danach deine Frage ergänzt und dann bin ich der letzte wo dir nicht unter die Arme greifen wird.
Gruß,
Dani
deine Frage ist so ungenau formuliert, dass die ersten 5-6 Kommentare alle gängigen Hersteller beinhalten werden. Aber es wird wie immer an einigen oder vielen Details scheitern oder Falten auf die Stirn zaubern.
Ich schlage erstmal vor, dass du unsere Suchfunktion nutzt. Da gibt es unzählige, aktive Fragen zu dem Thema. Danach deine Frage ergänzt und dann bin ich der letzte wo dir nicht unter die Arme greifen wird.
Gruß,
Dani
Hallo Urmel,
Dein Problem kenne ich nicht, aber schau dir mal das an:
VerboseStatus
Funktioniert auch unter Win10 und gibt dir beim Anmelden evtl einen Hinweis was so lange dauert.
Dein Problem kenne ich nicht, aber schau dir mal das an:
VerboseStatus
Funktioniert auch unter Win10 und gibt dir beim Anmelden evtl einen Hinweis was so lange dauert.
??
Anderer Thread?
Anderer Thread?
Hallo Cyb
ich habe eine pfSense basierende Netgate 2758 im Einsatz (Single Version; es gibt auch die Duale Version zwecks Failover/LoadBalancing). Durchsatz ist selbst bei rein 120* VPN (AES128) über 2,4GBit/s inkl 16 FW Regeln.
Ordentliche x86 Hardware, Bootsystem als RAID1 SSD; Preislich im 2500EUR Bereich und Service kannst du dir vgl. Cisco dazukaufen wie gewünscht inkl. 24/7 Support.
Dank BSD ordentlich sicher und mit Netgate als Provider auch recht schnell in den Patchlösungen. Nettes Ticketsystem und Reaktionen waren immer innerhalb 6h (bei dem Normalen NBD Vertrag).
Gruß
Sam
ich habe eine pfSense basierende Netgate 2758 im Einsatz (Single Version; es gibt auch die Duale Version zwecks Failover/LoadBalancing). Durchsatz ist selbst bei rein 120* VPN (AES128) über 2,4GBit/s inkl 16 FW Regeln.
Ordentliche x86 Hardware, Bootsystem als RAID1 SSD; Preislich im 2500EUR Bereich und Service kannst du dir vgl. Cisco dazukaufen wie gewünscht inkl. 24/7 Support.
Dank BSD ordentlich sicher und mit Netgate als Provider auch recht schnell in den Patchlösungen. Nettes Ticketsystem und Reaktionen waren immer innerhalb 6h (bei dem Normalen NBD Vertrag).
Gruß
Sam
Jau das dachte ich mir schon 
Wird wohl erst intern mich schlau machen müssen, welche Anforderungen (ausser 10G) wichtig sind .
Dachte man kann schon grob einteilen und sagen Hersteller 1 = Apotheke, 2 = super Support o.ä
Ich suche mal ..danke vorab
greets
Cyb
Wird wohl erst intern mich schlau machen müssen, welche Anforderungen (ausser 10G) wichtig sind .
Dachte man kann schon grob einteilen und sagen Hersteller 1 = Apotheke, 2 = super Support o.ä
Ich suche mal ..danke vorab
greets
Cyb
Hehe... Ja *g*
Hi
die primäre Anforderung;: 10G ... Alle Hersteller = Apotheke , 10 G ist im FW Bereich sehr teuer. Bei 2k Mitarbeitern kommt eigentlich nur eine geclusterte Lösung bzw. HA Lösung in Frage und da fallen direkt einige Hersteller raus. Um mal ein paar Hersteller zu nennen die 10G und HA Können: Fortinet, Watchguard, Cisco ....ich kenne die pfSense Appliance nicht die dürften aber preislich die interessanteste Wahl sein - sofern die HA können.
Funktionsumfang dürfte bei allen fast identisch sein, die Umsetzung ist immer unterschiedlich und die Implementierung einzelner Techniken (z.B. s2s VPN). Ich würde mir mal alle großen Hersteller ins Haus holen und dir zeigen lassen was Sie können und wie sie das umsetzen. Bei einer 10G Variante kommen die gerne auf einen Kaffee vorbei
Gruß
@clSchak
die primäre Anforderung;: 10G ... Alle Hersteller = Apotheke
, 10 G ist im FW Bereich sehr teuer. Bei 2k Mitarbeitern kommt eigentlich nur eine geclusterte Lösung bzw. HA Lösung in Frage und da fallen direkt einige Hersteller raus. Um mal ein paar Hersteller zu nennen die 10G und HA Können: Fortinet, Watchguard, Cisco ....ich kenne die pfSense Appliance nicht die dürften aber preislich die interessanteste Wahl sein - sofern die HA können.Funktionsumfang dürfte bei allen fast identisch sein, die Umsetzung ist immer unterschiedlich und die Implementierung einzelner Techniken (z.B. s2s VPN). Ich würde mir mal alle großen Hersteller ins Haus holen und dir zeigen lassen was Sie können und wie sie das umsetzen. Bei einer 10G Variante kommen die gerne auf einen Kaffee vorbei
Gruß
@clSchak
Hallo,
ändert sich sonst auch noch etwas anderes bzw. soll sich noch etwas anderes ändern!? Ich meine soll es eine
UTM oder gar NG-Firewall sein? Was soll die neue Firewall denn alles können außer einem 10 GbE Interface?
- Cisco Firepower (UTM)
Das passt sonst manchmal nicht so richtig zusammen mit den "Durchsätzen" wie man sie benötigt oder sie erwartet hat.
Firewall 200 MBit/s
IDS/IPS 150 MBIt/s
AV Scann 80 MBit/s
Dann würde ich mich an dem Durchsatz des AV Scanns orientieren wollen.
Gruß
Dobby
P.S.
Für pfSense zusammen mit 10 GBit/s sollte man sich das hier auch noch einmal anschauen:
Supermicro SYS-E300-8D
Supermicro SYS-E200-8D
ändert sich sonst auch noch etwas anderes bzw. soll sich noch etwas anderes ändern!? Ich meine soll es eine
UTM oder gar NG-Firewall sein? Was soll die neue Firewall denn alles können außer einem 10 GbE Interface?
Es soll eine neue Firewall mit 10G Interface implementiert werden. Bisher Checkpoint
Sollen die als LAN Schnittstelle hin zur DMZ und dem LAN dienen oder gar als WAN Schnittstelle?In diesem Zuge sollen auch andere Hersteller ggfs in Betracht kommen
- PaloAlto (NG-Firewall)- Cisco Firepower (UTM)
Welche sind da zu empfehlen und auf was muss man achten (Preis, Durchsatz, ...?)
Am besten erst einmal schauen was denn noch an Durchsatz nach "allen" Aktionen wie IDS, AV Scann und Firewallregeln vorhanden ist.Das passt sonst manchmal nicht so richtig zusammen mit den "Durchsätzen" wie man sie benötigt oder sie erwartet hat.
Firewall 200 MBit/s
IDS/IPS 150 MBIt/s
AV Scann 80 MBit/s
Dann würde ich mich an dem Durchsatz des AV Scanns orientieren wollen.
Gruß
Dobby
P.S.
Für pfSense zusammen mit 10 GBit/s sollte man sich das hier auch noch einmal anschauen:
Supermicro SYS-E300-8D
Supermicro SYS-E200-8D
Hi Dobby
die SuperMicro sehen recht ähnlich aus von der Frontbeschaltung wie die XG2758 auch schon (nur der CPU fehlt die Hälfte an Kernen).
Gruß
Sam
die SuperMicro sehen recht ähnlich aus von der Frontbeschaltung wie die XG2758 auch schon (nur der CPU fehlt die Hälfte an Kernen).
Gruß
Sam
Hi,
also bei 2.000 User und 10G bist du schnell bei den Großen Herstellern:
- Checkpoint
- Palo Alto
- Fortinet
- Cisco
- Juniper
- Watchguard (die setzen wir ein, aber kleinere Version. Ich finde die Kisten gut)
- ....
Wenn es was deutsches sein soll: Rohde&Schwarz
Oder noch eine Idee, guck mal in den Gartner Quadranten für Firewalls
Spricht denn was gegen die Checkpoint?
VG,
Deepsys
also bei 2.000 User und 10G bist du schnell bei den Großen Herstellern:
- Checkpoint
- Palo Alto
- Fortinet
- Cisco
- Juniper
- Watchguard (die setzen wir ein, aber kleinere Version. Ich finde die Kisten gut)
- ....
Wenn es was deutsches sein soll: Rohde&Schwarz
Oder noch eine Idee, guck mal in den Gartner Quadranten für Firewalls
Spricht denn was gegen die Checkpoint?
VG,
Deepsys
Hi
danke erstmal.
Nein es spricht nichts gegen eine Checkpoint per se. Aber da es ja neues Gerät werden soll was spricht dagegen eventuell zu vergleichen was andere Hersteller anbieten und ggfs Kosten sparen oder Nutzung zu optimieren.
Allerdings ist das nicht mein Thema. Würde halt gerne backrounds verstehen um ggfs mitreden zu können .
Ich bin mir sicher einer der von dir genannten wird es wohl werden.
greets
Cyb
danke erstmal.
Nein es spricht nichts gegen eine Checkpoint per se. Aber da es ja neues Gerät werden soll was spricht dagegen eventuell zu vergleichen was andere Hersteller anbieten und ggfs Kosten sparen oder Nutzung zu optimieren.
Allerdings ist das nicht mein Thema. Würde halt gerne backrounds verstehen um ggfs mitreden zu können .
Ich bin mir sicher einer der von dir genannten wird es wohl werden.
greets
Cyb
Hallo,
bei der Größenordnung sollte ihr über ein mehrstufiges Firewall Konzept nachdenken.
D.h. die Firewalls von min. 3 verschiedener Hersteller hintereinander kaskadieren.
brammer
bei der Größenordnung sollte ihr über ein mehrstufiges Firewall Konzept nachdenken.
D.h. die Firewalls von min. 3 verschiedener Hersteller hintereinander kaskadieren.
brammer
Hello,
damit der letzte Vertreter auch noch seine berechtigte Erwähnung bekommt...
SOPHOS. In der Größenordnung Sophos XG 450. 10G natürlich, im Bereich bis 2500 User, "Sicherheit / Schnelle Updates / Patches" -hängt immer auch von der Implementierung und dem Gesamtkonstrukt ab. Preis > 20k €.
Gruß c
damit der letzte Vertreter auch noch seine berechtigte Erwähnung bekommt...
SOPHOS. In der Größenordnung Sophos XG 450. 10G natürlich, im Bereich bis 2500 User, "Sicherheit / Schnelle Updates / Patches" -hängt immer auch von der Implementierung und dem Gesamtkonstrukt ab. Preis > 20k €.
Gruß c
Moin,
ich sehe das ähnlich wie brammer:
Nehmen wir mal an, du ermittelst, dass ihr eben icht nur eine (reine) Firewall suchst, sondern diese auch einen Proxy, Spamfilter, VPN-Server, ReverseProxyEngine, ... beinhalten soll. Dann kann man a) eine UTM verwenden (Hersteller sind ja bereits genannt worden), oder aber:
Jeden Dienst als eigenes System betrachten:
Firewall (inkl. VPN) könnte eine "einfache" aber leistungsstarke Watchguard, pfSense, Lancom, ... sein.
Als Paketfilter (Web "Proxy") könnte man auf Produkte wie Squid oder Baracudas Web Security Gateway andere zurückgreifen.
Spamfilter fällt mir auch hier wieder Baracuda oder Spamassasin (gibt es das überhaupt noch?) ein..
Fällt mal eine Komponente aus oder wird kompromittiert, hat das nur beschränkte Auswirkungen.
Eine reine Firewall zu tauschen ist um einiges leichter, als eine komplette UTM.
Bei einem meiner vergangenen AGs hatten wir sogar zwei Paketfilter, einen der direkt hinter der WAN-Firewall saß (externer Paketfilter) und einer, der dann hinter der Firewall zum LAN saß (interner Paketfiler). Dazwischen wurden nach noch Devices wie Spamfilter, ISA, Citrix-Access Gateway, etc. platziert.
Gruß
em-pie
ich sehe das ähnlich wie brammer:
Nehmen wir mal an, du ermittelst, dass ihr eben icht nur eine (reine) Firewall suchst, sondern diese auch einen Proxy, Spamfilter, VPN-Server, ReverseProxyEngine, ... beinhalten soll. Dann kann man a) eine UTM verwenden (Hersteller sind ja bereits genannt worden), oder aber:
Jeden Dienst als eigenes System betrachten:
Firewall (inkl. VPN) könnte eine "einfache" aber leistungsstarke Watchguard, pfSense, Lancom, ... sein.
Als Paketfilter (Web "Proxy") könnte man auf Produkte wie Squid oder Baracudas Web Security Gateway andere zurückgreifen.
Spamfilter fällt mir auch hier wieder Baracuda oder Spamassasin (gibt es das überhaupt noch?) ein..
Fällt mal eine Komponente aus oder wird kompromittiert, hat das nur beschränkte Auswirkungen.
Eine reine Firewall zu tauschen ist um einiges leichter, als eine komplette UTM.
Bei einem meiner vergangenen AGs hatten wir sogar zwei Paketfilter, einen der direkt hinter der WAN-Firewall saß (externer Paketfilter) und einer, der dann hinter der Firewall zum LAN saß (interner Paketfiler). Dazwischen wurden nach noch Devices wie Spamfilter, ISA, Citrix-Access Gateway, etc. platziert.
Gruß
em-pie
Hi,
danke erstmal.
Also VPN Server macht die jetzige auch und soll auch weiterhin gemacht werden. Auch Client End Verschlüsselung? Nennt man das so . Glaube de Checkpoint kann das auch machen.
Proxy ist separat am Start . Spamfilter - gehe ich mal davon aus wird auch darüber laufen.
greets
Cyb
danke erstmal.
Also VPN Server macht die jetzige auch und soll auch weiterhin gemacht werden. Auch Client End Verschlüsselung? Nennt man das so . Glaube de Checkpoint kann das auch machen.
Proxy ist separat am Start . Spamfilter - gehe ich mal davon aus wird auch darüber laufen.
greets
Cyb
@SamvanRatt
gleich mit 10 GbE oder SFP+ Interface, basieren aber auf dem Intel Xeon D-1500 SoC und sind somit seitens der CPU
potenter aber das für nur 1200 Euro anstatt 2500 Euro und sie vertragen sich mit pfSense ab Version 2.4 sehr gut!
Und Support kann man von pfSense auch hierzu kaufen!
Haube haben als die kleineren Atom C2000 Chips.
@Dani
springt die andere in Minuten ein und übernimmt den weiteren Betrieb!
@Cyberurmel
Es wäre schon mal schön zu wissen ob die 10 GbE am WAN anliegen oder aber "nur" zur DMZ und zum LAN hin benutzt werden um
dort Switche anzuschließen.
Denn damit kommt man dann schon alleine der Lizenzen wegen günstiger weg.
benutzt empfehlen sich glatt 16 GB bis 32 GB RAM dazu! Eine Weiterleitung zum schon vorhandenen Squid oder Ngix sollte
auch kein Problem sein und IDS oder gar andere Pakete kann man sicherlich auch installieren oder aber auch nicht ganz wie
man es benötigt. Supermicro hat außerdem eine recht große Auswahl an Intel Xeon D-1500 BareBones die entweder mit
2 - 16 Kernen und zusätzlichem HT daher kommen und auch alle recht üppig mit RAM ausgestattet werden können.
Bei recht großen VPN Teilnehmeranzahlen würde ich mir einen VPN Server in die DMZ stellen wollen, schau Dir mal
SoftEtherVPN an das läuft auf einem vor gehärtetem CentOS.
Gruß
Dobby
die SuperMicro sehen recht ähnlich aus von der Frontbeschaltung wie die XG2758
Die XG-2758 basiert auf dem Intel Atom C2758 SoC und die beiden oben genannten Supermicro Barebones kommen auchgleich mit 10 GbE oder SFP+ Interface, basieren aber auf dem Intel Xeon D-1500 SoC und sind somit seitens der CPU
potenter aber das für nur 1200 Euro anstatt 2500 Euro und sie vertragen sich mit pfSense ab Version 2.4 sehr gut!
Und Support kann man von pfSense auch hierzu kaufen!
auch schon (nur der CPU fehlt die Hälfte an Kernen).
Kern ist nicht gleich Kern! Dort sind Intel Xeon D-1500 SoCs verbaut worden die um einiges mehr "Wumms" unter derHaube haben als die kleineren Atom C2000 Chips.
@Dani
Fällt mal eine Komponente aus oder wird kompromittiert, hat das nur beschränkte Auswirkungen.
Man kann aber mittels der anderen Geräte hier auch einen HA Betrieb aufbauen und dann wenn eine Firewall "abraucht"springt die andere in Minuten ein und übernimmt den weiteren Betrieb!
Eine reine Firewall zu tauschen ist um einiges leichter, als eine komplette UTM.
Jo das stimmt aber die Sophos UTMs sind auch HA fähig und dort würde man sicherlich auch fündig werden.@Cyberurmel
Es wäre schon mal schön zu wissen ob die 10 GbE am WAN anliegen oder aber "nur" zur DMZ und zum LAN hin benutzt werden um
dort Switche anzuschließen.
Proxy ist separat am Start .
Ok, wenn man schon einen Squid oder Ngix betreibt dann braucht es auch nur eine reine Firewall sein, oder?Denn damit kommt man dann schon alleine der Lizenzen wegen günstiger weg.
Spamfilter - gehe ich mal davon aus wird auch darüber laufen.
Bei pfSense hat man die Möglichkeit pfBlockerNG & DNSBL zu nutzen, aber wenn man dort so richtig viele Listen einfügt undbenutzt empfehlen sich glatt 16 GB bis 32 GB RAM dazu! Eine Weiterleitung zum schon vorhandenen Squid oder Ngix sollte
auch kein Problem sein und IDS oder gar andere Pakete kann man sicherlich auch installieren oder aber auch nicht ganz wie
man es benötigt. Supermicro hat außerdem eine recht große Auswahl an Intel Xeon D-1500 BareBones die entweder mit
2 - 16 Kernen und zusätzlichem HT daher kommen und auch alle recht üppig mit RAM ausgestattet werden können.
Bei recht großen VPN Teilnehmeranzahlen würde ich mir einen VPN Server in die DMZ stellen wollen, schau Dir mal
SoftEtherVPN an das läuft auf einem vor gehärtetem CentOS.
Gruß
Dobby
@108012
Das hab ich gar nicht geschrieben...
Gruß,
Dani
Das hab ich gar nicht geschrieben...
Gruß,
Dani
Ikke aber
kurzer Exkurs bzw. leicht OT:
Ein HA (Hot-Standby) nützt nur etwas, wenn es KEIN Software-Problem ist. Selbst erlebt:
In unserer Sophos UTM hatte ich in 2014 (wie millionenfach zuvor auch schon) einen neuen VPN-User angelegt.
Am Tag X in 2014 hat dieser den Zugang dann benötigt und versucht sich einzuwählen. Ab da hat die Sophos die Grätsche gemacht. Der Master-Node stellte den Dienst ein, der Passiv-Node wollte/ sollte die Funktionalität übernehmen und strich ebenfalls die Segel. An beide Systeme ist man nur noch bedingt via SSH dran gekommen (bzw. via KVM). Unser Systemhaus des Vertrauens wurde hinzugezogen, hätte zwar das eine oder andere machen können aber Sophos wollte selbst erstmal die Lage "erkunden". Nach drei Tagen keiner produktiven Reaktion/ hilfegebenden Unterstützung seitens Sophos haben dann das Systemhaus und ich uns dazu entschieden, mal zu versuchen, die Kiste mit der letzten config (gespeichert auf einem USB-Stick) zu starten. Die Büchse startete, lud die Config vom Stick und alles lief wieder, bis der User wieder den Tunnel versuchte aufzubauen....
Kurzum: Am Ende den User mit seinem VPN-Configs gelöscht und alles neu eingerichtet. Seit dem ist Ruhe. Ich weiss bis heute nicht, was das Problem gewesen ist. Und entweder weiss Sophos das ebenfalls nicht oder die haben das Problem erkannt und stillschweigend in einem Patch gefixt.
So viel dann zum Thema: ein HA "verhindert" lange Ausfälle
