29431
01.12.2015
14717
25
0
FireWall Frage: Sophos oder Watchguard?
Hallo zusammen,
wir haben momentan eine Watchguard XTM330 im Einsatz, wo gerade die Lizenz abgelaufen ist.
Nun stellt sich uns die Frage, was wir machen?
Unser Servicepartner empfiehlt einen neue Sophos SG210 mit allen Diensten für 5100,-€ (3 Jahre)
Alternativ habe ich ein Upgrade-Angebot auf eine Watchguard M200 angeboten bekommen für 1800,-€ (ebenfalls 3 Jahre)
Rein wirtschaftlich eigentlich eine klare Sache ...
Mir gefällt das Handling der Watchguard mit der externen Software nicht so gut. Außerdem hat die Sophos eine Deutsche Oberfläche, was manchmal einiges doch vereinfacht.
Was würdet Ihr empfehlen?
Wie sind Eure Erfahrungen?
Volker
wir haben momentan eine Watchguard XTM330 im Einsatz, wo gerade die Lizenz abgelaufen ist.
Nun stellt sich uns die Frage, was wir machen?
Unser Servicepartner empfiehlt einen neue Sophos SG210 mit allen Diensten für 5100,-€ (3 Jahre)
Alternativ habe ich ein Upgrade-Angebot auf eine Watchguard M200 angeboten bekommen für 1800,-€ (ebenfalls 3 Jahre)
Rein wirtschaftlich eigentlich eine klare Sache ...
Mir gefällt das Handling der Watchguard mit der externen Software nicht so gut. Außerdem hat die Sophos eine Deutsche Oberfläche, was manchmal einiges doch vereinfacht.
Was würdet Ihr empfehlen?
Wie sind Eure Erfahrungen?
Volker
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289793
Url: https://administrator.de/contentid/289793
Ausgedruckt am: 20.11.2024 um 15:11 Uhr
25 Kommentare
Neuester Kommentar
Hi,
kann nicht vergleichen da wir nur WG haben.
Aber wenn du die externe Software nicht magst, mal die WebUI versucht?
https://firewall:8080
VG,
Deepsys
kann nicht vergleichen da wir nur WG haben.
Aber wenn du die externe Software nicht magst, mal die WebUI versucht?
https://firewall:8080
VG,
Deepsys
Servus,
wie wäre es evtl. mit Fortinet?
Halt keine deutsche Oberfläche verfügbar.
Gruß
VGem-e
wie wäre es evtl. mit Fortinet?
Halt keine deutsche Oberfläche verfügbar.
Gruß
VGem-e
Hallo,
Bei uns läuft aktuell ne Cisco ASA.
Ich liebäugle aktuell damit nächstes Jahr auf ne Barracuda zu wechseln.
Bei uns läuft aktuell ne Cisco ASA.
Ich liebäugle aktuell damit nächstes Jahr auf ne Barracuda zu wechseln.
Hallo Volker,
wir standen dieses Jahr genau vor der gleichen Entscheidung. Wir haben uns dann für die teuerere Sophos entschieden und damit unser Forefront TMG abgelöst. Bei Sophos kannst auch eine Teststellung bekommen. Und wenn bei denen das Wort Watchguard fällt bekommst auch super Preise für die Appliance. Wir haben auch die SG210 Fullguard im Einsatz und sind super zufrieden damit.
Gruß Andi
wir standen dieses Jahr genau vor der gleichen Entscheidung. Wir haben uns dann für die teuerere Sophos entschieden und damit unser Forefront TMG abgelöst. Bei Sophos kannst auch eine Teststellung bekommen. Und wenn bei denen das Wort Watchguard fällt bekommst auch super Preise für die Appliance. Wir haben auch die SG210 Fullguard im Einsatz und sind super zufrieden damit.
Gruß Andi
Als Alternative werfe ich noch die Palo Alto in die Runde! 
Moin Volker,
Gruß,
Dani
Außerdem hat die Sophos eine Deutsche Oberfläche, was manchmal einiges doch vereinfacht.
von der Sprache deutsch kannst du dich langsam aber sicher in diesem Bereich verabschieden. Wer den Markt länger schon beobachtet, wird feststellen dass immer mehr Hersteller den Aufwand sparen, da der Entwicklungsprozess immer schneller wird und "nur" Kosten verursacht.Rein wirtschaftlich eigentlich eine klare Sache ...
Können den beide Hersteller und dessen Modell deinen Anfordungskatalog jeweils gleich erfüllen oder gibt es da schon grobe Unterschiede? Das Handling hat sicherlich auch eine Gewichtung, aber Support(erreichbarkeit), Funktionsumfang, etc... sehe ich da weiter vorne.Gruß,
Dani
Nim die M200. Die Migration der Konfig ist hire nur ein paar klicks entfernt.
Am bested gefällt Mir Amber die Backupfunktion, wo auch die Software und Konfig inklusive aller Zertifikate enthalten Sind.
So Mann man auch Mal LEICHTSINNIG upgraden.
Falls man zurück will ist man in 10mimuten wieder auf dem alten Stand.
So was vermisse ich bei Fortigate und Sophos doch.
Auf der Roadmap Von Watchguard Sind auch ein paar schöne Sachen drauf für dieses Jahr.
Am bested gefällt Mir Amber die Backupfunktion, wo auch die Software und Konfig inklusive aller Zertifikate enthalten Sind.
So Mann man auch Mal LEICHTSINNIG upgraden.
Falls man zurück will ist man in 10mimuten wieder auf dem alten Stand.
So was vermisse ich bei Fortigate und Sophos doch.
Auf der Roadmap Von Watchguard Sind auch ein paar schöne Sachen drauf für dieses Jahr.
Was steht denn da?
Von den Anforderungen sind in meinen Augen beide gleich.
Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.
Da fehlt mir bisher eine konkrete Zusage bei beiden, ob das geht.
Volker
Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.
Da fehlt mir bisher eine konkrete Zusage bei beiden, ob das geht.
Volker
Ja, die kenne ich, finde aber die von Sophos gelungener
Von den Anforderungen sind in meinen Augen beide gleich.
Ich frage mich gerade wie du vor deinem Teamleiter oder sogar GF deine Entscheidung mit Fakten belegen willst, wenn es weder ein Anfoderungskatalog noch eine Vergleichsmatrix gibt, welche du entsprechend unterschiedlichst gewichtest. Das kann später keiner mehr nachvollziehen, warum die Entscheidung auf Produkt X gefallen ist. Ist das wirklich heute noch so einfach...Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.
Beide Firmen haben sicherlich einen oder sogar mehrere Sales Consulten welche dir sicherlich gerne Auskunft erteilen. Das nennt sich je nach Hersteller anders. Aber das ist heute gar kein Problem mehr. Unsere Systeme erkennen sogar an Hand des Datenstroms ob es Facebook o.ä. ist und gehen nicht mehr ausschließlich nach der Webadresse.Gruß,
Dani
Hi Dani,
Danke für Deine Antwort. Ich stehe gerade davor, das alles aufzubereiten. Bisher sind meine Anforderungen noch nicht so groß, weswegen ich ja auch hier um Hilfe bitte, um aus den Erfahrungen anderer zu lernen und nicht evtl. gleiche Fehler zu machen.
Deswegen werde ich mich auch mit den anderen hier aufgeführten Produkten beschäftigen.
Darf ich fragen, welches Produkt Ihr einsetzt und wie ihr das da mit Facebook gelöst habt?
Viele Grüße
Volker
Danke für Deine Antwort. Ich stehe gerade davor, das alles aufzubereiten. Bisher sind meine Anforderungen noch nicht so groß, weswegen ich ja auch hier um Hilfe bitte, um aus den Erfahrungen anderer zu lernen und nicht evtl. gleiche Fehler zu machen.
Deswegen werde ich mich auch mit den anderen hier aufgeführten Produkten beschäftigen.
Darf ich fragen, welches Produkt Ihr einsetzt und wie ihr das da mit Facebook gelöst habt?
Viele Grüße
Volker
Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.
Hab hier ne SG 125 im Einsatz und bin sehr zufrieden. Der Facebook Zugriff kann durch Gruppen explizit geregelt werden. Man kann die SG ans AD anbinden. Gibt einige nette Features von Sophos, allerdings kann ich nichts zu Watchguard sagen.
Gruß
Das mache ich dann mal:
Das mit Facebook kann WG auch, und zwar auch nicht nur für Webseiten, sondern für den gesamten Traffic, nennt sich Application Control.
Geht auch mit AD-Gruppen. Die Benutzer melden sich dazu entweder an der Firewall an oder per Windows Anmeldung. Dazu muss aber ein WG Agent entweder auf dem Domänen Controller oder Exchange installiert werden.
Damit kannst du dann auch nur Facebook Post zulassen, aber Facebook Videos und Spiele sperren.
Die Regel dazu kann dann auch Zeitbasierend sein.
Das Ganze kann dann mit dem Web-Blocker kombiniert werden, muss aber nicht.
Ich möchte aber sagen dass ich WG-Admin bin und kein Vertriebler; somit ist es mir völlig Wurst was du kauft; sage nur was WG kann und was schlechter.
Auch haben wir einen weiteren WebFilter im Einsatz der besser Regeln erstellen kann. Das Problem bei der Watchguard ist, das die Firewall Policies nicht auf URL greifen sondern auf IP. Und in der Policy wird der WebBlocker konfiguriert.
Wenn du viele Regeln für Web brauchst die sich auf der URL unterscheiden, ist WG weniger gut. Wenn du aber pro Abteilung unterscheidest, dann geht es schon.
Am besten besorgst du dir mal eine Teststellung.
VG,
Deepsys
Das mit Facebook kann WG auch, und zwar auch nicht nur für Webseiten, sondern für den gesamten Traffic, nennt sich Application Control.
Geht auch mit AD-Gruppen. Die Benutzer melden sich dazu entweder an der Firewall an oder per Windows Anmeldung. Dazu muss aber ein WG Agent entweder auf dem Domänen Controller oder Exchange installiert werden.
Damit kannst du dann auch nur Facebook Post zulassen, aber Facebook Videos und Spiele sperren.
Die Regel dazu kann dann auch Zeitbasierend sein.
Das Ganze kann dann mit dem Web-Blocker kombiniert werden, muss aber nicht.
Ich möchte aber sagen dass ich WG-Admin bin und kein Vertriebler; somit ist es mir völlig Wurst was du kauft; sage nur was WG kann und was schlechter.
Auch haben wir einen weiteren WebFilter im Einsatz der besser Regeln erstellen kann. Das Problem bei der Watchguard ist, das die Firewall Policies nicht auf URL greifen sondern auf IP. Und in der Policy wird der WebBlocker konfiguriert.
Wenn du viele Regeln für Web brauchst die sich auf der URL unterscheiden, ist WG weniger gut. Wenn du aber pro Abteilung unterscheidest, dann geht es schon.
Am besten besorgst du dir mal eine Teststellung.
VG,
Deepsys
Moin,
schlechte Performance fuer richtig viieeel Geld, die haben aus meiner Sicht nur Vorteile beim Management. Aber auch da haben die anderen mittlerweile aufgeholt...
VG,
Thomas
@tkr104
Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance ist auch dennoch in Ordnung! Bezüglich des Geldes muss ich aber allerdings passen, denn wir bezahlen die Kisten nicht und ich weiß auch nicht was die aktuell auf dem Markt kosten!
Gruß
Kümmel
Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance ist auch dennoch in Ordnung! Bezüglich des Geldes muss ich aber allerdings passen, denn wir bezahlen die Kisten nicht und ich weiß auch nicht was die aktuell auf dem Markt kosten!
Gruß
Kümmel
Zitat von @Kuemmel:
Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance
Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance
Wir haben mal PA-3020 mit Fortigate 200D verglichen, war das dreifache. Fuer ne Zweigstelle mag die PA200 sicher ausreichen, kostet im Cluster mit 5 Jahren Subscription aber auch schon 5-stellig. Interessant, wenn auch mit Vorsicht zu betrachten, auch dieses Papier der NSS Labs.
https://www.fortinet.com/sites/default/files/whitepapers/Next-Generation ...
VG,
Thomas
Ich würde hier mal noch Lancom ins rennen werfen,
1. Deutscher Hersteller
2. entsprechend Deutscher Support
haben auch weitere Geräte/Zubuchlizenen für verschiedene Dienste.
1. Deutscher Hersteller
2. entsprechend Deutscher Support
haben auch weitere Geräte/Zubuchlizenen für verschiedene Dienste.
Hi,
Lancom?
Die sehen sich doch selber nicht als Firewall-Hersteller?
Gut, die können ein bißchen Firewall, aber doch eher Router, oder?
VG,
Deepsys
Lancom?
Die sehen sich doch selber nicht als Firewall-Hersteller?
Gut, die können ein bißchen Firewall, aber doch eher Router, oder?
VG,
Deepsys
zu Watchguard.
Die kann auch nach Web Apps und nach Personen oder Gruppen den zugriff regeln.
geht sogar so weit das du zwar auf Facebook kucken kannst aber einfach die Login seine geblockt wird.
Oder alles auf Facebook ist erlaubt, ausser den Spielen, die werden geblockt.
wird bei Sophos will gleich sein.
Die kann auch nach Web Apps und nach Personen oder Gruppen den zugriff regeln.
geht sogar so weit das du zwar auf Facebook kucken kannst aber einfach die Login seine geblockt wird.
Oder alles auf Facebook ist erlaubt, ausser den Spielen, die werden geblockt.
wird bei Sophos will gleich sein.
Hallo Volker,
Wir haben bei uns Watchguard, Sonicwall und ASA dadurch verbannt.
Gruß,
Dani
Darf ich fragen, welches Produkt Ihr einsetzt...
Wir nutzen Barracuda NG Firewall mit Control Center (CC). Damit werden die Konfigurationen aller Systeme und Dienste zentral verwaltet, gesichert und im Notfall für ein Wiederherstellungsmedium bereitgestellt....und wie ihr das da mit Facebook gelöst habt?
Die Basis bild die Application Control mit einigen Addons wie URL-Filter, Zeit/Datums und Wochentagsfilter, Virenscan, Browser und Filefilter. In der Kombination kannst du 99% aller möglichen Kombinationen abbbilden. Die Kopplung mit dem Active Directory erfolgt via Addon, welches die Benutzerinformationen an die entsprechende Firewall weiterleitet. Somit ist keinerlei separate Anmeldung und Pflege von Benutzer bzw. Gruppen notwendig.Wir haben bei uns Watchguard, Sonicwall und ASA dadurch verbannt.
Gruß,
Dani
Schon mal vielen Dank Euch allen für die Kommentare. Ich werde versuchen mir alles einmal anzusehen (Ob das machbar ist?)
Weitere Anregungen und Erfahrungen sind natürlich weiterhin willkommen
DANKE!
Volker
Weitere Anregungen und Erfahrungen sind natürlich weiterhin willkommen
DANKE!
Volker
Jein,
Mittlerweile haben die schon ganz schön aufgeholt was Contentfiltering angeht,
z.B. Sperrung bestimmter Kategorien, etc.
Ohne Router bringt eine Firewall ja nicht wirklich viel.
Und beim Durchsatz/VPN-Anbindung sind die dann doch fast an der Grenze der Gbit/s-Verbindung angekommen.
Wenn natürlich bestimmte Funktionen geblockt werden sollen, sind die Router nicht unbedingt bestens geeignet (facebook-login)
Aber ansonsten sehr zu empfehlen.
Mittlerweile haben die schon ganz schön aufgeholt was Contentfiltering angeht,
z.B. Sperrung bestimmter Kategorien, etc.
Ohne Router bringt eine Firewall ja nicht wirklich viel.
Und beim Durchsatz/VPN-Anbindung sind die dann doch fast an der Grenze der Gbit/s-Verbindung angekommen.
Wenn natürlich bestimmte Funktionen geblockt werden sollen, sind die Router nicht unbedingt bestens geeignet (facebook-login)
Aber ansonsten sehr zu empfehlen.
Zitat von @29431:
Schon mal vielen Dank Euch allen für die Kommentare. Ich werde versuchen mir alles einmal anzusehen (Ob das machbar ist?)
Schon mal vielen Dank Euch allen für die Kommentare. Ich werde versuchen mir alles einmal anzusehen (Ob das machbar ist?)
Wenn ich jetzt die freie Wahl hätte und unser Netzwerk noch nicht vorhanden wäre viele meine Wahl eindeutig auf die Barracuda NG-Firewall.
Kennt jemand die Produkte von Securepoint (RC300 Security UT)?
Konnte schon jemand diesbezüglich Erfahrungen sammeln?
Unsere Watchguard läuft ebenfalls aus.
Grüß LF
Konnte schon jemand diesbezüglich Erfahrungen sammeln?
Unsere Watchguard läuft ebenfalls aus.
Grüß LF
