40
Firewall: Alternative Hersteller zu Sophos UTM
Schönen guten Tag,
da für mich heute Freitag ist und es vermutlich gleich auch Kritik gibt fürs Mausschupsen. Das funktioniert aber im Regelfall so gut, dass ich die CLI die letzten Jahre vll. im Monat 1x brauche.
Ich bin derzeit auf der Suche nach einer Alternative zur Sophos SG UTM. Die XG-Reihe von Sophos ist mehr als nur B*, was der Hersteller sich bei dem Produkt gedacht hat....ich weiß es nicht.
Was setzt ihr so ein bzw. von was Seit ihr begeistert was einen ähnlichen Funktionsumfang bietet wie eine Sophos die komplett "Full-Guard" lizenziert wurde.
KO-Kriterium die nicht jede Firewall hat:
-HA Aktiv/Aktiv
-Webproxy
-WAV
Schöne Grüße STITDK
Bearbeitet:
*Das Handy hat die hälfte verschluckt*
da für mich heute Freitag ist und es vermutlich gleich auch Kritik gibt fürs Mausschupsen. Das funktioniert aber im Regelfall so gut, dass ich die CLI die letzten Jahre vll. im Monat 1x brauche.
Ich bin derzeit auf der Suche nach einer Alternative zur Sophos SG UTM. Die XG-Reihe von Sophos ist mehr als nur B*, was der Hersteller sich bei dem Produkt gedacht hat....ich weiß es nicht.
Was setzt ihr so ein bzw. von was Seit ihr begeistert was einen ähnlichen Funktionsumfang bietet wie eine Sophos die komplett "Full-Guard" lizenziert wurde.
KO-Kriterium die nicht jede Firewall hat:
-HA Aktiv/Aktiv
-Webproxy
-WAV
Schöne Grüße STITDK
Bearbeitet:
*Das Handy hat die hälfte verschluckt*
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 533154
Url: https://administrator.de/contentid/533154
Printed on: April 19, 2024 at 20:04 o'clock
40 Comments
Latest comment
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder eben OPNsense.
Die simplen Klassiker...
Oder eben OPNsense.
Die simplen Klassiker...
Hallo,
Ein KO Kriterium, das nicht jede hat - leere -?
OK, würde sagen, Schalter umlegen.
Sophos; ja.
XG: Nein!
Geh auf die SG Serie und beschwer dich über die XG.
Viele Grüße,
Christian
certifiedit.net
(seit den frühen 2010er Sophos Partner, dem Kunden zu Liebe keine XG im Einsatz)..
Ein KO Kriterium, das nicht jede hat - leere -?
OK, würde sagen, Schalter umlegen.
Sophos; ja.
XG: Nein!
Geh auf die SG Serie und beschwer dich über die XG.
Viele Grüße,
Christian
certifiedit.net
(seit den frühen 2010er Sophos Partner, dem Kunden zu Liebe keine XG im Einsatz)..
Pfsense fällt mir auch noch ein.
Wir nutzen aktuell UTM und kann deine Probleme nicht nachvollziehen.
Gruss
Wir nutzen aktuell UTM und kann deine Probleme nicht nachvollziehen.
Gruss
UTM heisst erstmal nur Unified Threat Management, was nutzt Ihr, die SG oder die XG?
Wie wäre es mit einem deutschen Produkt?
https://www.securepoint.de/
Gibt es als Kauf- & Mietvariante und hat generell immer vollen Funktionsumfang. ;)
https://www.securepoint.de/
Gibt es als Kauf- & Mietvariante und hat generell immer vollen Funktionsumfang. ;)
Zitat von @falscher-sperrstatus:
UTM heisst erstmal nur Unified Threat Management, was nutzt Ihr, die SG oder die XG?
UTM heisst erstmal nur Unified Threat Management, was nutzt Ihr, die SG oder die XG?
Hast ja recht . SG natürlich.
Im Büro stehen Gateprotect (Rohde&Schwarz) UTM, Zuhause ne pfSense. nach meinen letzten Problemen mit der OPNSense würde ich diese derzeit eher nicht einsetzen.
Beide funktionieren problemlos mit GUI....perfekt für uns Mausschubser, die in der CLI nicht unbedingt zuhause sind.
Gruß
Looser
Beide funktionieren problemlos mit GUI....perfekt für uns Mausschubser, die in der CLI nicht unbedingt zuhause sind.
Gruß
Looser
und Besser die Finger von lassen.
Nebenbei, im Kern ist die UTM immer noch ein deutsches Produkt, Astaro. Klar, alles gute wird vom Ausland aufgekauft, das, wofür sich keiner Interessiert bleibt deutsch
Nebenbei, im Kern ist die UTM immer noch ein deutsches Produkt, Astaro. Klar, alles gute wird vom Ausland aufgekauft, das, wofür sich keiner Interessiert bleibt deutsch
Servus,
vielen dank für den Input:
Oben Bereits ergänzt:
KO-Kriterium die nicht jede Firewall hat:
-HA Aktiv/Aktiv
-Webproxy
-WAV
Und wir setzten die SG reihe ein.
Grund wieso wir uns umschauen: Die SG soll und wird irgendwann sterben. Und ich habe lieber ein Produkt rechtzeitig ausgebieg getestet als am ende der "dumme" zu sein.
Wir hätten also aktuell:
SecurePoint
GateProtect
pfSense
OpenSense
OPNsense: Hier stört mich aktuell gerade tatsächlich das der Unterbau aus 2018 ist? Die schon angesprochenen Probleme die Zurzeit im Umlauf sind raten mir davon, gerade im Supportfall ebenfalls ab.
Wir setzten momentan 2x SG 450 im Aktiv/Aktiv ein.
Schönen Abend
STITDK
vielen dank für den Input:
Oben Bereits ergänzt:
KO-Kriterium die nicht jede Firewall hat:
-HA Aktiv/Aktiv
-Webproxy
-WAV
Und wir setzten die SG reihe ein.
Grund wieso wir uns umschauen: Die SG soll und wird irgendwann sterben. Und ich habe lieber ein Produkt rechtzeitig ausgebieg getestet als am ende der "dumme" zu sein.
Wir hätten also aktuell:
SecurePoint
GateProtect
pfSense
OpenSense
OPNsense: Hier stört mich aktuell gerade tatsächlich das der Unterbau aus 2018 ist? Die schon angesprochenen Probleme die Zurzeit im Umlauf sind raten mir davon, gerade im Supportfall ebenfalls ab.
Wir setzten momentan 2x SG 450 im Aktiv/Aktiv ein.
Schönen Abend
STITDK
Grund wieso wir uns umschauen: Die SG soll und wird irgendwann sterben. Und ich habe lieber ein Produkt rechtzeitig ausgebieg getestet als am ende der "dumme" zu sein.
Vorsicht sehe ich ein, dass die SG sterben wird, glaub ich nicht, totgesagte Leben länger und wir haben hier eine Breite an Usern, die auf die SG drängen wird. (wir auch!).
VG
Servus,
Watchguard Firebox.
Gruß
Watchguard Firebox.
Gruß
Zitat von @STITDK:
OPNsense: Hier stört mich aktuell gerade tatsächlich das der Unterbau aus 2018 ist? Die schon angesprochenen Probleme die Zurzeit im Umlauf sind raten mir davon, gerade im Supportfall ebenfalls ab.
Hmm,OPNsense: Hier stört mich aktuell gerade tatsächlich das der Unterbau aus 2018 ist? Die schon angesprochenen Probleme die Zurzeit im Umlauf sind raten mir davon, gerade im Supportfall ebenfalls ab.
könntest Du das etwas mehr erläutern, was Du mit dem Unterbau meinst? Der Unterbau ist FreeBSD und der ist genauso alt/neu wie bei pfsense.
Und welche Probleme sind denn z.Zt. im Umlauf!?
Mag sein, dass OPNsense (noch) nicht die gleiche Reife von pfsense hat. Dafür ist OPNsense aber wirklich Open Source und nicht wie pfsense eigentlich nur noch eine Community-Edition einer kommerziellen FW der Firma Netgate.
Ob ich OPNsense in einem Unternehmen nutzen würde, weiß ich ehrlicherweise auch nicht. Mir fehlt gegenüber den kommerziellen Lösungen einfach das Logging/Auswertungen. Die AV- und Anti-Spamlösungen von pfsense/OPNsense haben mich bisher nicht überzeugen können. Auch wollen viele Firmen einen Supportvertrag mit einem Hersteller.
Die hier schon genannte Securepoint UTM kann man sich auch ruhig mal ansehen. Wir haben 2013 von Sophos auf Securepoint gewechselt. Das Preismodell von Securepoint war wesentlich fairer als das Preismodell von Sophos. Und schlechter sind wir damit auch nicht gefahren.
Hi,
mich wundert das die "großen" Namen noch nicht gefallen sind:
- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
Als europäische Player:
- Clavister
- Rhode&Schwarz = Lancom (die habe aber keinen so guten Ruf)
Deine Anforderungen wird wahrscheinliche jeder da oben können, es fehlt mal wieder das Budget ...
Gartner zeigt dir hier die top-Player:
https://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant ...
Viele Grüße,
Deepsys
mich wundert das die "großen" Namen noch nicht gefallen sind:
- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
Als europäische Player:
- Clavister
- Rhode&Schwarz = Lancom (die habe aber keinen so guten Ruf)
Deine Anforderungen wird wahrscheinliche jeder da oben können, es fehlt mal wieder das Budget ...
Gartner zeigt dir hier die top-Player:
https://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant ...
Viele Grüße,
Deepsys
1
Servus,
ich aktualisiere mal:
- SecurePoint
- GateProtect
- pfSense
- OpenSense- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
- Watchguard
- Clavister
- Rhode&Schwarz = Lancom (die habe aber keinen so guten Ruf)
@Deepsys: Budget: ca. 80k-100k das haben wir auch ca. in die Aktuelle Konstellation gesteckt. Entschuldige ich bin davon ausgegangen das jeder weiß das die Aktiv/Aktiv Konfiguration 2er SG450 nicht ganz so "günstig" ist.
@monstermania
Der Unterbau meine ich das Betriebssystem was verwendet wird. Wenn die Funktionen für uns passen ist das kein Beinbruch. Für uns Spielt aber der Support Gedanke mehr eine Rolle als ob open- oder closed-source.
Grüße STITDK
ich aktualisiere mal:
- SecurePoint
- GateProtect
- pfSense
- OpenSense- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
- Watchguard
- Clavister
- Rhode&Schwarz = Lancom (die habe aber keinen so guten Ruf)
@Deepsys: Budget: ca. 80k-100k das haben wir auch ca. in die Aktuelle Konstellation gesteckt. Entschuldige ich bin davon ausgegangen das jeder weiß das die Aktiv/Aktiv Konfiguration 2er SG450 nicht ganz so "günstig" ist.
@monstermania
Der Unterbau meine ich das Betriebssystem was verwendet wird. Wenn die Funktionen für uns passen ist das kein Beinbruch. Für uns Spielt aber der Support Gedanke mehr eine Rolle als ob open- oder closed-source.
Grüße STITDK
@Deepsys: Budget: ca. 80k-100k das haben wir auch ca. in die Aktuelle Konstellation gesteckt. Entschuldige ich bin davon ausgegangen das jeder weiß das die Aktiv/Aktiv Konfiguration 2er SG450 nicht ganz so "günstig" ist.
80.000€ für 2 Firewalls?
Na dann sollte auch ne Paloalto kein Problem sein.
Wir haben Watchguard im Einsatz, laufen ganz gut, und der Preis für 2 M370 mit Basic Security Suite lag unter 5k.
Die 2. Kiste ist bei WG im HA deutlich billiger.
Laut den Daten deiner SG450 sollte es aber eher eine M670 oder höher sein.
Ich empfehle ebenfalls Watchguard.
-gutes HA Konzept (aktiv/aktiv)
-sehr guter support wenn mit einem Platin Dienstleister zusammen gearbeitet wird.
-keine klicki bunti Webgui
-vernünftiges Management über verwaltungstool sowie management Lösung für Firewall Farmen.
-kosten in dem Segment moderat. Für mich kommt danach nur noch Paloalto.
-Feature Set ist super und wird derzeit stark ausgebaut.
Wie schon gesagt wurde, bei 80k-100k brauch man nicht nachdenken und steigt auf Paloalto um. Du wirst dich deines Lebens freuen. Auch wenn der Anfang damit etwas müsam ist, wird das doch durch den späteren betrieb gerechtfertigt.
-gutes HA Konzept (aktiv/aktiv)
-sehr guter support wenn mit einem Platin Dienstleister zusammen gearbeitet wird.
-keine klicki bunti Webgui
-vernünftiges Management über verwaltungstool sowie management Lösung für Firewall Farmen.
-kosten in dem Segment moderat. Für mich kommt danach nur noch Paloalto.
-Feature Set ist super und wird derzeit stark ausgebaut.
Wie schon gesagt wurde, bei 80k-100k brauch man nicht nachdenken und steigt auf Paloalto um. Du wirst dich deines Lebens freuen. Auch wenn der Anfang damit etwas müsam ist, wird das doch durch den späteren betrieb gerechtfertigt.
- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
*Die Grossen*... joa. *Die amerikanischen mit den Kostenfallen* sag ich.
Alles zahlste extra... Sophos auch.
Sogar bei den kleinen.
Schau mal bei Ubiquity rein. Das Konzept ist zwar: "Support weg" aber das gilt auch nur bedingt und wer schonmal ne Firewall konfiguriert hat hat damit eigentlich kein Problem.
Ob da ein Proxy dabei ist... hab ich bisher noch nicht gebraucht, aber denke da gibts sicher ne Loesung.
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
*Die Grossen*... joa. *Die amerikanischen mit den Kostenfallen* sag ich.
Alles zahlste extra... Sophos auch.
Sogar bei den kleinen.
Schau mal bei Ubiquity rein. Das Konzept ist zwar: "Support weg" aber das gilt auch nur bedingt und wer schonmal ne Firewall konfiguriert hat hat damit eigentlich kein Problem.
Ob da ein Proxy dabei ist... hab ich bisher noch nicht gebraucht, aber denke da gibts sicher ne Loesung.
Du schlägst in dem Setup wirklich ubiquity vor? :D
Ja!
Ja!
Genau, in dem Bereich denkt man garnicht an sowas.
Stimmt, wie wäre es mit einer Fritzbox.
1
RasPi tuts auch. Ist ja nur bisschen IP.
Ach komm Chris die 7590 reicht doch dicke! :D Hat doch nen stärkeren SOC :>
als die ubi*? Jau! und günstiger dürft es auch werden. Was soll's wir machen auch Share-Rechte auf "jeder". Spart schliesslich Zeit bei der Einrichtung.
1
Zumindest haben wir da nicht so einen Bug wie bei den Speedports. *abgesehen von fehlendem SMB3 "hust"
Was hältst du denn davon einfach Mal an den Hersteller gern zu treten. Offensichtlich bist du mit der SG zufrieden. Also entweder weiter Betrieb oder Weggang von gut zahlenden Kunden. Denke das könnte etwas ausmachen.
Zitat von @STITDK:
@monstermania
Der Unterbau meine ich das Betriebssystem was verwendet wird. Wenn die Funktionen für uns passen ist das kein Beinbruch. Für uns Spielt aber der Support Gedanke mehr eine Rolle als ob open- oder closed-source.
Grüße STITDK
Eben, und da Pfsense/OPNsense den gleichen Unterbau verwenden (FreeBSD 11.x), hab ich nicht verstanden, warum Du zur OPNsense geschrieben hattest "alter Unterbau von 2018"@monstermania
Der Unterbau meine ich das Betriebssystem was verwendet wird. Wenn die Funktionen für uns passen ist das kein Beinbruch. Für uns Spielt aber der Support Gedanke mehr eine Rolle als ob open- oder closed-source.
Grüße STITDK
Evtl. wechselt OPNsense zum nächsten Release dann auf FreeBSD 12.x, wobei ich das nicht unbedingt positiv sehe. Beim Wechsel von 10.x zu 11.x gab es Einges an Trouble...
Sorry, ich hatte das mit HA aktiv/aktiv überlesen. Dann fliegen pfsense/OPNsense und securepoint eh raus. Dort ist HA als Hot-Standy realisiert.
Die passive FW (Slave) übernimmt bei Ausfall der aktiven FW (Master).
Weiss nicht, ob es hier schon irgendwo erwähnt wurde:
Watchguard
Die haben in allen Leistungsklassen verfügbare Appliances, schlagen so ziemlich alles und jeden. Ist für perimeter immer meine erste Wahl
Watchguard
Die haben in allen Leistungsklassen verfügbare Appliances, schlagen so ziemlich alles und jeden. Ist für perimeter immer meine erste Wahl
Zitat von @30JahreDabei:
Weiss nicht, ob es hier schon irgendwo erwähnt wurde:
Watchguard
Die haben in allen Leistungsklassen verfügbare Appliances, schlagen so ziemlich alles und jeden. Ist für perimeter immer meine erste Wahl
Weiss nicht, ob es hier schon irgendwo erwähnt wurde:
Watchguard
Die haben in allen Leistungsklassen verfügbare Appliances, schlagen so ziemlich alles und jeden. Ist für perimeter immer meine erste Wahl
Mein reden.
Fortigate 60E
Moin,
Unabhängig davon würde ich den technischen Support ebenfalls in die Liste aufnehmen. Gerade wenn ich an Cisco TAC denke, ist öfters mal viel Geduld und Nerven gefragt.
Gruß,
Dani
mich wundert das die "großen" Namen noch nicht gefallen sind:
- Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
Barracuda Networks fehlt noch. - Cisco
- PaloAlto
- CheckPoint
- Fortinet
- Juniper
-Watchguard
Deine Anforderungen wird wahrscheinliche jeder da oben können, es fehlt mal wieder das Budget ...
Bei Cisco und Juniper bin ich mir gerade nicht sicher. KO-Kriterium die nicht jede Firewall hat:
Brauchst du evtl. kurz/mittelfristig auch Zertifizierungen, ala EAL? Dann wird die Auswahl nämlich nochmals deutlicher geringer.Unabhängig davon würde ich den technischen Support ebenfalls in die Liste aufnehmen. Gerade wenn ich an Cisco TAC denke, ist öfters mal viel Geduld und Nerven gefragt.
Budget: ca. 80k-100k das haben wir auch ca. in die Aktuelle Konstellation gesteckt.
In solchen Dimensionen betreibt man eigentlich auf der Firewall keine Services mehr wie Proxy oder WAF. Zu mal letzteres auf solchen UTMs selten zu finden ist. Dort ist in der Regel IDS/IPS implementiert. Was mit WAF direkt nichts zu tun hat.Gruß,
Dani
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
IPFire kann man evtl. noch erwähnen.
Hab schon ein paar XG Implementiert und kann darüber nicht meckern. Find es sehr aufgeräumt alles.
Klar das Ding ist anders als eine SG aber wenn man mal begriffen hat wie es funktioniert und aufgebaut ist..
Hab schon ein paar XG Implementiert und kann darüber nicht meckern. Find es sehr aufgeräumt alles.
Klar das Ding ist anders als eine SG aber wenn man mal begriffen hat wie es funktioniert und aufgebaut ist..
Zitat von @Spirit-of-Eli:
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Ja naja. Vor allem wenn es viele Außen-Standorte gibt die verwaltet werden müssen.
Zitat von @fre4ki:
Ja naja. Vor allem wenn es viele Außen-Standorte gibt die verwaltet werden müssen.
Zitat von @Spirit-of-Eli:
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Ja naja. Vor allem wenn es viele Außen-Standorte gibt die verwaltet werden müssen.
Wenn das kleine außen Standorte sind würde sogar ich eher Sophos RED Geräte nehmen.
Ansonsten lieber Watchguard.
Ich sehe in dem von mir genannten Feature von Barracuda ein Alleinstellungsmerkmal.
Zitat von @Spirit-of-Eli:
Wenn das kleine außen Standorte sind würde sogar ich eher Sophos RED Geräte nehmen.
Ansonsten lieber Watchguard.
Ich sehe in dem von mir genannten Feature von Barracuda ein Alleinstellungsmerkmal.
Zitat von @fre4ki:
Ja naja. Vor allem wenn es viele Außen-Standorte gibt die verwaltet werden müssen.
Zitat von @Spirit-of-Eli:
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Barracuda ist nicht schlecht. Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe. Da sind die verdammt stark drin.
Ja naja. Vor allem wenn es viele Außen-Standorte gibt die verwaltet werden müssen.
Wenn das kleine außen Standorte sind würde sogar ich eher Sophos RED Geräte nehmen.
Ansonsten lieber Watchguard.
Ich sehe in dem von mir genannten Feature von Barracuda ein Alleinstellungsmerkmal.
Kommt drauf an ob die Außenstellen unabhängig agieren sollen. Barracuda ist halt in der Verwaltung aller Firewalls sehr stark. Wenn man vpn Tunnel von allen Geräten in allen Richtungen aufbauen muß etc..
Hallo ,
entschuldigt die lange Pause.
Wir haben uns nun entschieden an die Entsprechenden Hersteller heranzutreten bezüglich einer mehrmonatigen Teststellung.
Ihr habt alle sehr viel Input gegeben, dafür bin ich euch sehr dankbar.
Grüße STITDK
entschuldigt die lange Pause.
Wir haben uns nun entschieden an die Entsprechenden Hersteller heranzutreten bezüglich einer mehrmonatigen Teststellung.
Ihr habt alle sehr viel Input gegeben, dafür bin ich euch sehr dankbar.
Grüße STITDK
Besser als deren Mailgateway als Spamfirewall?
Die funktioniert bei uns i.d.R. ganz gut, die Web-GUI Administration ist aber nen Graus, das geht tierisch auf den Kaffeekonsum. :D
Moin,
Gruß,
Dani
Besser als deren Mailgateway als Spamfirewall?
deutlich... LoadBalancer und Firewall sind 1A.Gruß,
Dani
Wobei ich die eher wegen deren Loadbalancing über VPN Tunnel im RZ betrieb sehe.
Na ja, das kann jeder Cisco Router oder Cisco ASA auch oder Firewalls von Fortinet und Palo Alto und den anderen üblichen Verdächtigen ebenso. So wirklich ein Alleinstellungsmerkmal ist das nicht.Mit jedem anderen Router oder Firewall ist das auch mit Bordmitteln möglich solange sie dynamische Routing Protokolle supporten. Deren ECMP Feature eignet sich hervorragend dafür. Ein Raspberry Pi mit Wireguard und Quagga OSPF löst das auf diese Weise ebenfalls.
