Firewall empfehlung für ein Unternehmen!
Hallo zusammen,
ich habe eine Frage an alle Profis ;)
Ich bin gerade auf der Suche nach einer guten Firewall (Hardware) für unser unternehmen.
Wir haben ein:
- AD mit WIN 2003 Server..
- Standleitung
- ca. 200 Clients
- nutzen VPN
- eventuell später Email von zuhause abrufen über (http)
Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA als Firewall ab! Wer hat den von Euch eine Saubere lösung?
Borderware wurde mir ebenfalls empfohlen, allerdings ist das ganze auf Englisch und der Support ist auch nicht gerade der Beste...
Ich hoffe jemand kann mir ein paar Tip geben..
danke
ich habe eine Frage an alle Profis ;)
Ich bin gerade auf der Suche nach einer guten Firewall (Hardware) für unser unternehmen.
Wir haben ein:
- AD mit WIN 2003 Server..
- Standleitung
- ca. 200 Clients
- nutzen VPN
- eventuell später Email von zuhause abrufen über (http)
Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA als Firewall ab! Wer hat den von Euch eine Saubere lösung?
Borderware wurde mir ebenfalls empfohlen, allerdings ist das ganze auf Englisch und der Support ist auch nicht gerade der Beste...
Ich hoffe jemand kann mir ein paar Tip geben..
danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 56071
Url: https://administrator.de/forum/firewall-empfehlung-fuer-ein-unternehmen-56071.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
24 Kommentare
Neuester Kommentar
Hi,
Wir haben hier nur ISA am laufen. Da wir eine M$ Umgebung haben. Somit treten auch am wenigsten Fehler mit Freigaben von OWA usw... auf. Diese Lösung ist auch SAUBER (Wieso sollte die unsauber sein??).
Definitiv würde ich eine Hardwarefirewall nehmen. Ist war vom konfiguieren her ein bisschen aufwendiger, aber Sicherheit hat seinen Preis!! Wir haben dahinter nochmal einen ISA - Proxy geschaltet, der dann die Zugangskontrolle regelt und noch mal Ports und Protokolle filtert / durchlässt.
Ganz wichtig finde ich, den Proxy auf einer extra Maschine installieren oder aber ne VM. Bei der VM wirklich extra 2 Netzwerkkarten einbauen. Als Software empfehle ich dir VMWare Server.
Also Proxy-Alternative ist SQUID für Windows auch super. Hat die gleichen Feature's wie unter Linux und läuft auch stabil und ohne Probleme. => Freeware!
Grüße
Dani
Ich habe mich mit ein paar bekannten unterhalten, die raten mir allerding schwer von MS ISA
als Firewall ab! Wer hat den von Euch eine Saubere lösung?
LOL....was für einen Beruf haben diese Bekannten? Falls Admins, wie groß ist das Netz.als Firewall ab! Wer hat den von Euch eine Saubere lösung?
Wir haben hier nur ISA am laufen. Da wir eine M$ Umgebung haben. Somit treten auch am wenigsten Fehler mit Freigaben von OWA usw... auf. Diese Lösung ist auch SAUBER (Wieso sollte die unsauber sein??).
Definitiv würde ich eine Hardwarefirewall nehmen. Ist war vom konfiguieren her ein bisschen aufwendiger, aber Sicherheit hat seinen Preis!! Wir haben dahinter nochmal einen ISA - Proxy geschaltet, der dann die Zugangskontrolle regelt und noch mal Ports und Protokolle filtert / durchlässt.
Ganz wichtig finde ich, den Proxy auf einer extra Maschine installieren oder aber ne VM. Bei der VM wirklich extra 2 Netzwerkkarten einbauen. Als Software empfehle ich dir VMWare Server.
Also Proxy-Alternative ist SQUID für Windows auch super. Hat die gleichen Feature's wie unter Linux und läuft auch stabil und ohne Probleme. => Freeware!
Grüße
Dani
Hi,
ist ist nicht das Schlechteste, aber es gibt manchmal einfach seine Tücken (in Hinsicht der Konfiguration, welches Produkt hat das nicht). Wenn der ISA dann mal vollständig konfiguriert ist (nichts vergessen wurde), steht das Ding wie ne MAUER.
Wir hatten hier noch nie Probleme mit Angreifer o.ä.....und wir haben ein paar Proxys!
Auf Hinsicht der Zunkunftsvorhaben (VPN, eventuell später Email von zuhause abrufen über http) ist sicher ISA die bessere Wahl.
Grüße
Dani
ist ist nicht das Schlechteste, aber es gibt manchmal einfach seine Tücken (in Hinsicht der Konfiguration, welches Produkt hat das nicht). Wenn der ISA dann mal vollständig konfiguriert ist (nichts vergessen wurde), steht das Ding wie ne MAUER.
Wir hatten hier noch nie Probleme mit Angreifer o.ä.....und wir haben ein paar Proxys!
Auf Hinsicht der Zunkunftsvorhaben (VPN, eventuell später Email von zuhause abrufen über http) ist sicher ISA die bessere Wahl.
Grüße
Dani
@Dani:
Rein interesse-halber, setzt Du für Dein Heimnetzwerk auch ISA ein?
Ich hab' das ma gescannt, sollteste ein wenig überarbeiten
Lonesome Walker
Rein interesse-halber, setzt Du für Dein Heimnetzwerk auch ISA ein?
Ich hab' das ma gescannt, sollteste ein wenig überarbeiten
XXX
Dir zuliebe entfernt...
Lonesome Walker
?
Sagt wer?
Laut aktueller Gesetzeslage nicht.
Scannen wird ab dem Aufgenblick illegal, wenn man dem Server schaden zufügt, bzw. dieser seine Arbeit nicht mehr gewohnt durchführen kann.
Wenn der Scann den Server (beweisbar) beeinträchtigt, erst das ist illegal.
Klar wollen die das ändern...
Lonesome Walker
Sagt wer?
Laut aktueller Gesetzeslage nicht.
Scannen wird ab dem Aufgenblick illegal, wenn man dem Server schaden zufügt, bzw. dieser seine Arbeit nicht mehr gewohnt durchführen kann.
Wenn der Scann den Server (beweisbar) beeinträchtigt, erst das ist illegal.
Klar wollen die das ändern...
Lonesome Walker
Also das ist eigentlich nicht das Thema, aber ich geb einfach mein Wissen auch noch dazu.
Im Moment ist es eine dunkle Grauzone. Sprich macht man sowas mei Privatleuten (außgenommen Anwälte) wird dir in der Regel zu 95% nicht passieren. Jedoch bei Ärtzen, Kl. & gr. Firmen oder sogar ISP, kannst du sicher sein, dass auf dich was zukommen wird.
Stand: 23.03.2007
Und jetzt zurück zum Thema.
Grüße
Dani
Im Moment ist es eine dunkle Grauzone. Sprich macht man sowas mei Privatleuten (außgenommen Anwälte) wird dir in der Regel zu 95% nicht passieren. Jedoch bei Ärtzen, Kl. & gr. Firmen oder sogar ISP, kannst du sicher sein, dass auf dich was zukommen wird.
Stand: 23.03.2007
Und jetzt zurück zum Thema.
Grüße
Dani
Dem kann ich nur entgegnen, daß das nicht so ist;
eine PN an BartSimpson ging gerade raus.
Hierzu wird sich aber in absehbarer Zukunft ein eindeutiges Gesetz ergeben, das alleine schon den Besitz von solchen "Tools" wie z.B. nmap unter Strafe stellt...
(auch für die Admins für's eigene Netz... welch Ironie)
Lonesome Walker
eine PN an BartSimpson ging gerade raus.
Hierzu wird sich aber in absehbarer Zukunft ein eindeutiges Gesetz ergeben, das alleine schon den Besitz von solchen "Tools" wie z.B. nmap unter Strafe stellt...
(auch für die Admins für's eigene Netz... welch Ironie)
Lonesome Walker
Was nützt eine gute Linux oder Cisco Firewall, wenn sich Vorort niemand so richtig gut damit auskennt? Cisco Router können fast alles, aber insbesondere kann ein Cisco Router einen Anfänger so richtig zum fluchen bringen! Ich habe bisher noch niemanden kennen gelernt der innerhalb von 2 Wochen von 0 auf 100% alles über Cisco Router gelernt hat. Das gleiche gilt für auch Linux. Wie man grundsätzlich Auto fährt lernst du in 2 Stunden, aber ein Auto sicher und gut zu fahren erfordert sehr viel Fahrpraxis.
Lies dir das Handbuch der potenziellen neuen Firewall durch. Nix verstanden? -> Nix kaufen!
Als erste Firewall würde ich einen einfachen (DSL) Router empfehlen. Mit den einfachen, robusten Filterregeln kann man das meiste von draußen abfangen. z.B. darf der Webserver nur auf Port 80 erreichbar sein usw. Beispiele: Netgear, d-Link, Lancom oder Watchguard.
Als zweite Firewall bietet sich meistens ein Proxy an, der die Webseiten auf denen die Kollegen surfen dürfen filtert (Jugendschutz?) und Viren aus Downloads entfernt. Das kann z.B. der MS ISA Server mit Antivirus Software eines Drittanbieters sein. Oder auch InterScan VirusWall von TrendMicro
http://de.trendmicro-europe.com/enterprise/products/groups.php?prodgrou ...
Im extrem Fall eine Proxy der exakt protokolliert wer wann wohin surft bzw. "unanständige Inhalte" verbietet. http://marshal.com/WebMarshal/
Auf welcher der beiden Firewalls das VPN ankommt hängt stark von eurem Netzwerkdesign ab. Was soll denn für die VPN Benutzer erreichbar sein? Das gesamte Netzwerk oder nur einige wenige Server? Wenn die VPN Benutzer z.B. nur Emails abholen wollen, dann genügt die Verbindung bis in die DMZ zum E-Mail-Server.
Wie soll das VPN aufgebaut werden?
Von Lancon, Netgear und Cisco (und vielen weiteren) gibt es einen VPN Client, der auf dem Notebook installiert wird und seine Regeln (z.B. lokale Firewall an während VPN Verbindung) von der Firewall bekommt.
Von NetScreen und Cisco ASA und SSLexplorer (reine Softwarelösung) gibt es https basierte Java Clients die auf der remote VPN Seite bei der Anmeldung geladen werden. Ideal für VPN Verbindungen von Computern die nicht zu eurer Firma gehören wie z.B. Partnerfirmen. Sogenanntes SSL VPN.
Beispiel: SSL VPN-Access-Appliance von Juniper/NetScreen
http://www.juniper.net/products_and_services/ssl_vpn_secure_access/inde ...
Gruß Rafiki
Lies dir das Handbuch der potenziellen neuen Firewall durch. Nix verstanden? -> Nix kaufen!
Als erste Firewall würde ich einen einfachen (DSL) Router empfehlen. Mit den einfachen, robusten Filterregeln kann man das meiste von draußen abfangen. z.B. darf der Webserver nur auf Port 80 erreichbar sein usw. Beispiele: Netgear, d-Link, Lancom oder Watchguard.
Als zweite Firewall bietet sich meistens ein Proxy an, der die Webseiten auf denen die Kollegen surfen dürfen filtert (Jugendschutz?) und Viren aus Downloads entfernt. Das kann z.B. der MS ISA Server mit Antivirus Software eines Drittanbieters sein. Oder auch InterScan VirusWall von TrendMicro
http://de.trendmicro-europe.com/enterprise/products/groups.php?prodgrou ...
Im extrem Fall eine Proxy der exakt protokolliert wer wann wohin surft bzw. "unanständige Inhalte" verbietet. http://marshal.com/WebMarshal/
Auf welcher der beiden Firewalls das VPN ankommt hängt stark von eurem Netzwerkdesign ab. Was soll denn für die VPN Benutzer erreichbar sein? Das gesamte Netzwerk oder nur einige wenige Server? Wenn die VPN Benutzer z.B. nur Emails abholen wollen, dann genügt die Verbindung bis in die DMZ zum E-Mail-Server.
Wie soll das VPN aufgebaut werden?
Von Lancon, Netgear und Cisco (und vielen weiteren) gibt es einen VPN Client, der auf dem Notebook installiert wird und seine Regeln (z.B. lokale Firewall an während VPN Verbindung) von der Firewall bekommt.
Von NetScreen und Cisco ASA und SSLexplorer (reine Softwarelösung) gibt es https basierte Java Clients die auf der remote VPN Seite bei der Anmeldung geladen werden. Ideal für VPN Verbindungen von Computern die nicht zu eurer Firma gehören wie z.B. Partnerfirmen. Sogenanntes SSL VPN.
Beispiel: SSL VPN-Access-Appliance von Juniper/NetScreen
http://www.juniper.net/products_and_services/ssl_vpn_secure_access/inde ...
Gruß Rafiki
Und ohne jetzt eine Firma LANCOM verunglimpfen zu wollen, aber es gibt hier 2 Forums-Mitglieder, denen ich LIVE gezeigt habe, wie unsicher doch so LANCOM-Router sind...
(echt dumm, daß mich die Entwickler dort im Forum als dumm dargestellt haben... somit kann mich keiner zwingen/motivieren, denen zu verraten, wie das geht...)
Lonesome Walker
(echt dumm, daß mich die Entwickler dort im Forum als dumm dargestellt haben... somit kann mich keiner zwingen/motivieren, denen zu verraten, wie das geht...)
Lonesome Walker
Hi,
ich weiss ehrlich gesagt auch nicht, was gegen den ISA Server spricht....
generell sach ich halt : eine Firewall ist nur so gut wie der Admin selbst.....dürfte ja bekannt sein....(ich hoff dass hat hier noch keiner erwähnt...)..xD
ISa läuft an sich recht sauber...vorrausgesetzt das Regelwerk stimmt....Sicher Linux / und oder Cisco wäre auch angemessen, aber was bringt es einen "Frischling"---- Zudem gibt es weniger Probleme (wie schon erwähnt RPC...) ,
Der ISA ist zwar an sich auch nicht leicht, jedoch gibt es viel Threads um ihn einigermaßen sauber zu konfigurieren...."Do it Yourself"
Ich weiss jetzt nicht ob es hier erlaubt ist links einzubetten...einfach googeln nach msisafaq...
Ich rate dir einfach mal ne Testversion zu besorgen und dich mit der Sache auseinanderzusetzen.....
Zu LanCom setz ich von "Lonsome Walker" gleich noch eins drauf... Firmware instabil, werden verflucht warm....Schmieren desöfteren ab.....toll ...
Sicherheit? Kann ich nichts dazu sagen... Da bevorzuge ich lieber den ISA....
Gruß rooks..
Schöne Ostern noch...schau mer mal was der Osterhase denn dieses Jahr so alles an Überraschungen gelegt hat....hrhr..
ich weiss ehrlich gesagt auch nicht, was gegen den ISA Server spricht....
generell sach ich halt : eine Firewall ist nur so gut wie der Admin selbst.....dürfte ja bekannt sein....(ich hoff dass hat hier noch keiner erwähnt...)..xD
ISa läuft an sich recht sauber...vorrausgesetzt das Regelwerk stimmt....Sicher Linux / und oder Cisco wäre auch angemessen, aber was bringt es einen "Frischling"---- Zudem gibt es weniger Probleme (wie schon erwähnt RPC...) ,
Der ISA ist zwar an sich auch nicht leicht, jedoch gibt es viel Threads um ihn einigermaßen sauber zu konfigurieren...."Do it Yourself"
Ich weiss jetzt nicht ob es hier erlaubt ist links einzubetten...einfach googeln nach msisafaq...
Ich rate dir einfach mal ne Testversion zu besorgen und dich mit der Sache auseinanderzusetzen.....
Zu LanCom setz ich von "Lonsome Walker" gleich noch eins drauf... Firmware instabil, werden verflucht warm....Schmieren desöfteren ab.....toll ...
Sicherheit? Kann ich nichts dazu sagen... Da bevorzuge ich lieber den ISA....
Gruß rooks..
Schöne Ostern noch...schau mer mal was der Osterhase denn dieses Jahr so alles an Überraschungen gelegt hat....hrhr..
ich kann auch die Juniper/NetScreen Lösung empfehlen, die setzen wir auch ein und es läuft prima. Gut erreichbarer Support! Aber sicher muss die Kosten Frage gestellt werden.
Hallo
Ich arbeite seit Jahren mit dem Produkt Securepoint Firewall.
Ist jetzt in der neuen Version einfach zu konfigurieren (Grundkonfiguration mittels Wizard).
Spamschutz, Virenschutz, ... VPN-Server mit PPTP, IPSEC
Gibt es als reine Softwarelösung, bzw. inkl. Hardware.
Ist vom OS linuxbasierend (ich glaube RedHat)
Zum 30 Tage Test runterladbar (securepoint.de) und auf X86 Hardware installieren -
am besten mit 3 Netzwerkkarten von Realtek, Intel oder 3COM.
Support hat bis jetzt problemlos und empfehlenswert geklappt - wenn ich mal nicht weiterwußte.
Ich würde die uneingeschränkt empfehlen.
Schöne Ostern,
Gerhard
Ich arbeite seit Jahren mit dem Produkt Securepoint Firewall.
Ist jetzt in der neuen Version einfach zu konfigurieren (Grundkonfiguration mittels Wizard).
Spamschutz, Virenschutz, ... VPN-Server mit PPTP, IPSEC
Gibt es als reine Softwarelösung, bzw. inkl. Hardware.
Ist vom OS linuxbasierend (ich glaube RedHat)
Zum 30 Tage Test runterladbar (securepoint.de) und auf X86 Hardware installieren -
am besten mit 3 Netzwerkkarten von Realtek, Intel oder 3COM.
Support hat bis jetzt problemlos und empfehlenswert geklappt - wenn ich mal nicht weiterwußte.
Ich würde die uneingeschränkt empfehlen.
Schöne Ostern,
Gerhard