29431
Goto Top

FireWall Frage: Sophos oder Watchguard?

Hallo zusammen,

wir haben momentan eine Watchguard XTM330 im Einsatz, wo gerade die Lizenz abgelaufen ist.

Nun stellt sich uns die Frage, was wir machen?

Unser Servicepartner empfiehlt einen neue Sophos SG210 mit allen Diensten für 5100,-€ (3 Jahre)

Alternativ habe ich ein Upgrade-Angebot auf eine Watchguard M200 angeboten bekommen für 1800,-€ (ebenfalls 3 Jahre)

Rein wirtschaftlich eigentlich eine klare Sache ...

Mir gefällt das Handling der Watchguard mit der externen Software nicht so gut. Außerdem hat die Sophos eine Deutsche Oberfläche, was manchmal einiges doch vereinfacht.


Was würdet Ihr empfehlen?
Wie sind Eure Erfahrungen?


Volker

Content-ID: 289793

Url: https://administrator.de/forum/firewall-frage-sophos-oder-watchguard-289793.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Deepsys
Deepsys 01.12.2015 um 15:57:47 Uhr
Goto Top
Hi,

kann nicht vergleichen da wir nur WG haben.
Aber wenn du die externe Software nicht magst, mal die WebUI versucht?
https://firewall:8080

VG,
Deepsys
VGem-e
VGem-e 01.12.2015 um 16:00:02 Uhr
Goto Top
Servus,

wie wäre es evtl. mit Fortinet?

Halt keine deutsche Oberfläche verfügbar.

Gruß
VGem-e
wiesi200
wiesi200 01.12.2015 um 16:16:50 Uhr
Goto Top
Hallo,
Bei uns läuft aktuell ne Cisco ASA.
Ich liebäugle aktuell damit nächstes Jahr auf ne Barracuda zu wechseln.
Andi4you
Andi4you 01.12.2015 um 16:38:34 Uhr
Goto Top
Hallo Volker,

wir standen dieses Jahr genau vor der gleichen Entscheidung. Wir haben uns dann für die teuerere Sophos entschieden und damit unser Forefront TMG abgelöst. Bei Sophos kannst auch eine Teststellung bekommen. Und wenn bei denen das Wort Watchguard fällt bekommst auch super Preise für die Appliance. Wir haben auch die SG210 Fullguard im Einsatz und sind super zufrieden damit.

Gruß Andi
Kuemmel
Kuemmel 01.12.2015 um 17:48:15 Uhr
Goto Top
Als Alternative werfe ich noch die Palo Alto in die Runde! face-smile
Dani
Dani 01.12.2015 um 19:37:05 Uhr
Goto Top
Moin Volker,
Außerdem hat die Sophos eine Deutsche Oberfläche, was manchmal einiges doch vereinfacht.
von der Sprache deutsch kannst du dich langsam aber sicher in diesem Bereich verabschieden. Wer den Markt länger schon beobachtet, wird feststellen dass immer mehr Hersteller den Aufwand sparen, da der Entwicklungsprozess immer schneller wird und "nur" Kosten verursacht.

Rein wirtschaftlich eigentlich eine klare Sache ...
Können den beide Hersteller und dessen Modell deinen Anfordungskatalog jeweils gleich erfüllen oder gibt es da schon grobe Unterschiede? Das Handling hat sicherlich auch eine Gewichtung, aber Support(erreichbarkeit), Funktionsumfang, etc... sehe ich da weiter vorne.


Gruß,
Dani
affabanana
affabanana 01.12.2015 um 20:53:07 Uhr
Goto Top
Nim die M200. Die Migration der Konfig ist hire nur ein paar klicks entfernt.

Am bested gefällt Mir Amber die Backupfunktion, wo auch die Software und Konfig inklusive aller Zertifikate enthalten Sind.
So Mann man auch Mal LEICHTSINNIG upgraden.
Falls man zurück will ist man in 10mimuten wieder auf dem alten Stand.

So was vermisse ich bei Fortigate und Sophos doch.

Auf der Roadmap Von Watchguard Sind auch ein paar schöne Sachen drauf für dieses Jahr.
29431
29431 02.12.2015 um 08:08:53 Uhr
Goto Top
Was steht denn da? face-smile
29431
29431 02.12.2015 um 08:11:18 Uhr
Goto Top
Von den Anforderungen sind in meinen Augen beide gleich.

Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.

Da fehlt mir bisher eine konkrete Zusage bei beiden, ob das geht.

Volker
29431
29431 02.12.2015 um 08:12:14 Uhr
Goto Top
Ja, die kenne ich, finde aber die von Sophos gelungener
Dani
Dani 02.12.2015 aktualisiert um 09:15:25 Uhr
Goto Top
Von den Anforderungen sind in meinen Augen beide gleich.
Ich frage mich gerade wie du vor deinem Teamleiter oder sogar GF deine Entscheidung mit Fakten belegen willst, wenn es weder ein Anfoderungskatalog noch eine Vergleichsmatrix gibt, welche du entsprechend unterschiedlichst gewichtest. Das kann später keiner mehr nachvollziehen, warum die Entscheidung auf Produkt X gefallen ist. Ist das wirklich heute noch so einfach...

Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.
Beide Firmen haben sicherlich einen oder sogar mehrere Sales Consulten welche dir sicherlich gerne Auskunft erteilen. Das nennt sich je nach Hersteller anders. Aber das ist heute gar kein Problem mehr. Unsere Systeme erkennen sogar an Hand des Datenstroms ob es Facebook o.ä. ist und gehen nicht mehr ausschließlich nach der Webadresse.


Gruß,
Dani
29431
29431 02.12.2015 um 09:21:30 Uhr
Goto Top
Hi Dani,

Danke für Deine Antwort. Ich stehe gerade davor, das alles aufzubereiten. Bisher sind meine Anforderungen noch nicht so groß, weswegen ich ja auch hier um Hilfe bitte, um aus den Erfahrungen anderer zu lernen und nicht evtl. gleiche Fehler zu machen.

Deswegen werde ich mich auch mit den anderen hier aufgeführten Produkten beschäftigen.

Darf ich fragen, welches Produkt Ihr einsetzt und wie ihr das da mit Facebook gelöst habt?

Viele Grüße
Volker
easyfisi
easyfisi 02.12.2015 aktualisiert um 11:01:00 Uhr
Goto Top
Was ich mir extrem wünsche wäre ein Web-Blocker, wo man benutzerabhängig Regeln erstellen kann. Als Beispiel soll mal Facebook dienen. Die Mitarbeiter sollen während der Arbeitszeit da nicht drauf dürfen, aber das Marketing soll unsere eigene Facebookseite pflegen dürfen.

Hab hier ne SG 125 im Einsatz und bin sehr zufrieden. Der Facebook Zugriff kann durch Gruppen explizit geregelt werden. Man kann die SG ans AD anbinden. Gibt einige nette Features von Sophos, allerdings kann ich nichts zu Watchguard sagen.

Gruß
Deepsys
Deepsys 02.12.2015 um 12:22:54 Uhr
Goto Top
Zitat von @easyfisi:
allerdings kann ich nichts zu Watchguard sagen.
Das mache ich dann mal:

Das mit Facebook kann WG auch, und zwar auch nicht nur für Webseiten, sondern für den gesamten Traffic, nennt sich Application Control.
Geht auch mit AD-Gruppen. Die Benutzer melden sich dazu entweder an der Firewall an oder per Windows Anmeldung. Dazu muss aber ein WG Agent entweder auf dem Domänen Controller oder Exchange installiert werden.
Damit kannst du dann auch nur Facebook Post zulassen, aber Facebook Videos und Spiele sperren.

Die Regel dazu kann dann auch Zeitbasierend sein.

Das Ganze kann dann mit dem Web-Blocker kombiniert werden, muss aber nicht.

Ich möchte aber sagen dass ich WG-Admin bin und kein Vertriebler; somit ist es mir völlig Wurst was du kauft; sage nur was WG kann und was schlechter.

Auch haben wir einen weiteren WebFilter im Einsatz der besser Regeln erstellen kann. Das Problem bei der Watchguard ist, das die Firewall Policies nicht auf URL greifen sondern auf IP. Und in der Policy wird der WebBlocker konfiguriert.
Wenn du viele Regeln für Web brauchst die sich auf der URL unterscheiden, ist WG weniger gut. Wenn du aber pro Abteilung unterscheidest, dann geht es schon.

Am besten besorgst du dir mal eine Teststellung.

VG,
Deepsys
Th0mKa
Th0mKa 02.12.2015 um 15:29:39 Uhr
Goto Top
Zitat von @Kuemmel:

Als Alternative werfe ich noch die Palo Alto in die Runde! face-smile

Moin,

schlechte Performance fuer richtig viieeel Geld, die haben aus meiner Sicht nur Vorteile beim Management. Aber auch da haben die anderen mittlerweile aufgeholt...

VG,

Thomas
Kuemmel
Kuemmel 02.12.2015 um 15:46:57 Uhr
Goto Top
@tkr104
Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance ist auch dennoch in Ordnung! Bezüglich des Geldes muss ich aber allerdings passen, denn wir bezahlen die Kisten nicht und ich weiß auch nicht was die aktuell auf dem Markt kosten!

Gruß
Kümmel
Th0mKa
Th0mKa 02.12.2015 um 16:14:32 Uhr
Goto Top
Zitat von @Kuemmel:

Sprichst du da aus eigener Erfahrung? Wir betreuen hier Zweigstellen mit über 700 Usern und verwenden hauptsächlich die PA-200. Die Performance

Wir haben mal PA-3020 mit Fortigate 200D verglichen, war das dreifache. Fuer ne Zweigstelle mag die PA200 sicher ausreichen, kostet im Cluster mit 5 Jahren Subscription aber auch schon 5-stellig. Interessant, wenn auch mit Vorsicht zu betrachten, auch dieses Papier der NSS Labs.
https://www.fortinet.com/sites/default/files/whitepapers/Next-Generation ...

VG,

Thomas
SFischer-SCT
SFischer-SCT 02.12.2015 um 16:38:05 Uhr
Goto Top
Ich würde hier mal noch Lancom ins rennen werfen,

1. Deutscher Hersteller
2. entsprechend Deutscher Support

haben auch weitere Geräte/Zubuchlizenen für verschiedene Dienste.
Deepsys
Deepsys 02.12.2015 um 20:36:20 Uhr
Goto Top
Hi,

Lancom?
Die sehen sich doch selber nicht als Firewall-Hersteller?
Gut, die können ein bißchen Firewall, aber doch eher Router, oder?

VG,
Deepsys
affabanana
affabanana 02.12.2015 um 21:53:12 Uhr
Goto Top
zu Watchguard.

Die kann auch nach Web Apps und nach Personen oder Gruppen den zugriff regeln.
geht sogar so weit das du zwar auf Facebook kucken kannst aber einfach die Login seine geblockt wird.
Oder alles auf Facebook ist erlaubt, ausser den Spielen, die werden geblockt.

wird bei Sophos will gleich sein.
Dani
Dani 02.12.2015 aktualisiert um 22:53:15 Uhr
Goto Top
Hallo Volker,
Darf ich fragen, welches Produkt Ihr einsetzt...
Wir nutzen Barracuda NG Firewall mit Control Center (CC). Damit werden die Konfigurationen aller Systeme und Dienste zentral verwaltet, gesichert und im Notfall für ein Wiederherstellungsmedium bereitgestellt.

...und wie ihr das da mit Facebook gelöst habt?
Die Basis bild die Application Control mit einigen Addons wie URL-Filter, Zeit/Datums und Wochentagsfilter, Virenscan, Browser und Filefilter. In der Kombination kannst du 99% aller möglichen Kombinationen abbbilden. Die Kopplung mit dem Active Directory erfolgt via Addon, welches die Benutzerinformationen an die entsprechende Firewall weiterleitet. Somit ist keinerlei separate Anmeldung und Pflege von Benutzer bzw. Gruppen notwendig.

Wir haben bei uns Watchguard, Sonicwall und ASA dadurch verbannt.


Gruß,
Dani
29431
29431 03.12.2015 um 08:12:56 Uhr
Goto Top
Schon mal vielen Dank Euch allen für die Kommentare. Ich werde versuchen mir alles einmal anzusehen (Ob das machbar ist?)

Weitere Anregungen und Erfahrungen sind natürlich weiterhin willkommen face-smile

DANKE!

Volker
SFischer-SCT
SFischer-SCT 03.12.2015 um 08:47:48 Uhr
Goto Top
Jein,

Mittlerweile haben die schon ganz schön aufgeholt was Contentfiltering angeht,
z.B. Sperrung bestimmter Kategorien, etc.

Ohne Router bringt eine Firewall ja nicht wirklich viel.

Und beim Durchsatz/VPN-Anbindung sind die dann doch fast an der Grenze der Gbit/s-Verbindung angekommen.

Wenn natürlich bestimmte Funktionen geblockt werden sollen, sind die Router nicht unbedingt bestens geeignet (facebook-login)

Aber ansonsten sehr zu empfehlen.
Kuemmel
Kuemmel 03.12.2015 um 14:44:42 Uhr
Goto Top
Zitat von @29431:

Schon mal vielen Dank Euch allen für die Kommentare. Ich werde versuchen mir alles einmal anzusehen (Ob das machbar ist?)

Wenn ich jetzt die freie Wahl hätte und unser Netzwerk noch nicht vorhanden wäre viele meine Wahl eindeutig auf die Barracuda NG-Firewall.
lafiney
lafiney 07.12.2015 um 13:44:02 Uhr
Goto Top
Kennt jemand die Produkte von Securepoint (RC300 Security UT)?
Konnte schon jemand diesbezüglich Erfahrungen sammeln?

Unsere Watchguard läuft ebenfalls aus.

Grüß LF