echo11
Goto Top

Firewall für kleines Unternehmen

Hallo zusammen,

ich bin mittlerweile als alleiniger Admin bei einem kleinen, jedoch in Zukunft stark wachsenden, Unternehmen gelandet. Auch wenn meine Aufgaben in Zukunft anders lauten sollen, bin ich gerade dabei einige Baustellen abzuarbeiten, viele Kleinigkeiten zu erledigen und wichtige Weichen zu stellen.

Einige grundlegende Fakten zur Ist-Situation:
  • 20 Mitarbeiter
  • wenige Windows-Devices, die restlichen Mitarbeiter arbeiten mit Chrome-Devices
  • keine Infrastruktur vor Ort
  • Nutzung von G Suite sowie vieler Dienste, die in irgendeiner Form per Web-Interface bereitgestellt werden (SaaS, Eigenentwicklungen...)

Da wir mit der aktuell genutzten Internet-Anbindung sehr unzufrieden sind (viele und teils stundenlange Abbrüche, Upload teilweise ungenügend) sind wir in Gesprächen mit verschiedenen Anbietern über eine symmetrische Leitung mit 100 MBit. Diese Leitung soll schnellstmöglich bestellt werden.

Was in den nächsten Monaten passieren soll:
  • Bereitstellung einiger Server (für interne Zwecke) bei einer Cloud-Plattform (z.B. Azure oder Google Cloud)
  • Bereitstellung eines "Backup-Gerätes" in den eigenen Räumlichkeiten, um eine zusätzliche Datensicherung im Haus zu ermöglichen
  • Webfiltering/Webblocking

Vorbereitend für diese Änderungen sowie bedingt durch die Beschaffung der neuen Leitung bin ich auf der Suche nach einer Firewall. Ich habe in den letzten 3,5 Jahren viel mit Watchguard-Geräten gearbeitet, kenne die Stärken und Schwächen und hätte hier keine Notwendigkeit einer Einarbeitungsphase.
Allerdings möchte ich auch über den Tellerrand schauen. Ich probiere gerne neue Lösungen aus und kann mir vorstellen, dass es andere interessante, vielleicht auch besser geeignete Lösungen gibt.

Habt ihr Vorschläge für eine Lösung? Gibt es vielleicht einen Hersteller, der bei den genannten Plattformen virtuelle Firewalls bereitstellt? Dies könnte für die nächsten Schritte interessant werden. Welcher Hersteller arbeitet mit einer modernen Oberfläche, die nicht durch uraltes, aber funktionales Design, besticht? Gibt es eine Lösung, die Webfiltering/Webblocking auch für Chrome-Devices anbietet?

Falls ihr noch weitere Informationen benötigt, lasst es mich kurz wissen.

Besten Gruß und danke für eure Hilfe
Chris

Content-ID: 345605

Url: https://administrator.de/contentid/345605

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 07.08.2017 um 15:49:41 Uhr
Goto Top
Schau Dir PFSense an.
wuurian
wuurian 07.08.2017 um 15:50:56 Uhr
Goto Top
Hallo,

Gesprächen mit verschiedenen Anbietern über eine symmetrische Leitung mit 100 MBit

Das wird nicht gerade billig, nur vorab.

Braucht ihr bei 20 MA wirklich eine symetrische 100Mbit-Leitung?

Bereitstellung einiger Server (für interne Zwecke) bei einer Cloud-Plattform (z.B. Azure oder Google Cloud)

Datenschutz beachtet? Einige Server?

Eigene Maschine ist wohl nicht gewünscht?

Wenn ihr jetzt nur in der Cloud arbeiten wollt, macht die Leitung vielleicht Sinn, kommt natürlich auf die Anwendungsfälle an.

Bereitstellung eines "Backup-Gerätes" in den eigenen Räumlichkeiten, um eine zusätzliche Datensicherung im Haus zu ermöglichen

Dort reicht ein NAS, Qnap oder eins von den sonstigen hiesigen Anbietern.

Webfiltering/Webblocking

Das kannst du über die Firewall regeln.

Was gefällt dir bei der Watchguard nicht?

Du meinst bestimmt den System-Manager..?

Ja, schön ist er nicht unbedingt, aber wie du bereits sagst, funktionell!

Über das Webinterface der Watchguard lässt sich ja auch einiges einstellen.

Die deckt ja alles ab, was von dir gefordert ist.

Virtuelle Firewall, hab ich persönlich keine Erfahrung mit, mir wäre ein Blech da lieber..face-smile

Gibt es eine Lösung, die Webfiltering/Webblocking auch für Chrome-Devices anbietet?

Das definierst du ja dann in der Firewall, ob das Chrome oder sonstige Devices sind macht keinen Unterschied.

Oder wie meinst du das?

Mal eine andere Frage, was passiert wenn du krank bist?

Wer schmeißt dann den Laden?

Viele Grüße
certifiedit.net
certifiedit.net 07.08.2017 um 15:57:27 Uhr
Goto Top
Hallo Namensvetter,

ich kann dir Sophos nahelegen, aber viel wichtiger ist eine klare IT-Strategie aber auch hierüber kann man sich gerne unterhalten.

VG,

Christian
Der-Phil
Der-Phil 07.08.2017 um 16:05:58 Uhr
Goto Top
Hallo!

Ich würde bei diesen Anforderungen eine Fortigate 100E in Betracht ziehen, da Du hier schon fast alles hast, was Du brauchst.
Dazu vernünftige Switche, um direkt segmentieren zu können.

Wenn zwischen den Segmenten noch mehr Performance benötigt wird, wird es teuer.

Gruß
Phil
echo11
echo11 07.08.2017 um 16:07:58 Uhr
Goto Top
Das wird nicht gerade billig, nur vorab.

Das ist mir klar, habe in der Vergangenheit häufiger solche Leitungen beauftragt. An unserem Standort ist es sogar vergleichsweise günstig.

Braucht ihr bei 20 MA wirklich eine symetrische 100Mbit-Leitung?

Nicht unbedingt. 50/50 würde auch reichen - allerdings startet der präferierte und mit Abstand günstigste Anbieter bei 100 MBit. Wir arbeiten viel mit großen Datenmengen, daher ist ein ordentlicher Upload schon notwendig. Allein aus Verfügbarkeits- sowie Servicegründen ist eine solche Leitung für uns sinnvoll - es gibt halt die totale Abhängigkeit von der Leitung.

Datenschutz beachtet? Einige Server?

Eigene Maschine ist wohl nicht gewünscht?

Wenn ihr jetzt nur in der Cloud arbeiten wollt, macht die Leitung vielleicht Sinn, kommt natürlich auf die Anwendungsfälle an.

Das wird alles noch geplant, derzeit gibt es verschiedene Lösungen (gehostete Systeme, gehostete Datenbanken...). Ich muss erstmal alles zusammentragen und dann die Anforderungen definieren. Dabei spielt natürlich auch der Datenschutz eine große Rolle.

Dort reicht ein NAS, Qnap oder eins von den sonstigen hiesigen Anbietern.

Jup, irgendwas in die Richtung.

Das kannst du über die Firewall regeln.
Ist richtig, ich habe leider einen Punkt vergessen. Super wäre es, wenn die Webfilterung gruppenbasiert funktioniert. Das habe ich in einer AD-Umgebung immer mit AD-Gruppen sowie Authentifizierung per SSO Agent geregelt. Der AD-Punkt fällt bei den Chrome-Devices weg, die Windows-Devices könnte ich per SSO-Client anbinden. Alternativ natürlich per Authentifizierung direkt an der Box - ist halt nicht ganz so benutzerfreundlich.
Dieser Punkt ist kein Muss, aber schön wäre es.


Was gefällt dir bei der Watchguard nicht?
Du meinst bestimmt den System-Manager..?
Ja, schön ist er nicht unbedingt, aber wie du bereits sagst, funktionell!
Über das Webinterface der Watchguard lässt sich ja auch einiges einstellen.

Ich fasse das mal alles zusammen: das Web-Interface ist mittlerweile gut, allerdings für manche Konfigurationen immer noch zu kompliziert. Der System Manager ist eigentlich immer meine Wahl gewesen. Watchguard hat in einigen Dingen Schwächen, vor allem was die Benutzerfreundlichkeit angeht. Auch die SSO-Funktionalitäten haben nicht immer ganz sauber geklappt. Wenn ich meinem Spieltrieb nichts Neues entgegenbringen kann, wird es auch sicherlich eine Watchguard werden. Aber Neugier und co. müssen ja auch manchmal befriedigt werden. ;)

Virtuelle Firewall, hab ich persönlich keine Erfahrung mit, mir wäre ein Blech da lieber..face-smile
Ob ich da irgendwo in einer Cloud-Umgebung ein eigenes Blech installieren darf, bezweifle ich mal. ;) Das wäre ja auch nur eine Möglichkeit für "irgendwann".

Das definierst du ja dann in der Firewall, ob das Chrome oder sonstige Devices sind macht keinen Unterschied.

Oder wie meinst du das?
Den Punkt hatte ich weiter oben in meiner Antwort ergänzt.

Mal eine andere Frage, was passiert wenn du krank bist?

Wer schmeißt dann den Laden?
Das ist natürlich eine berechtigte und mir auch wichtige Frage. Bislang hat diese Themen ein Kollege übernommen, dessen Aufgabengebiet ein anderes ist. Dieser kann das zumindest zeitweise wieder übernehmen. Das eigentliche Ziel ist es jedoch, dies durch einen weiteren Kollegen oder eine externe Lösung zu regeln.
monstermania
monstermania 08.08.2017 um 08:19:52 Uhr
Goto Top
Moin,
von den grundsätzlichen Anforderungen her ist das ja keine große Sache. Praktisch jede Firewall sollte das von Dir genannte Einsatzspektrum abdecken. Da würde ich nach persönlichen KnowHow/Vorlieben bzw. dem Preis gehen.

Ich lese aus Deiner Mail heraus, dass Euer Unternehmen stark von einer funktionierenden Internetanbindung abhängig ist. Von daher würde ich verstärkt Augenmerk auf die Verfügbarkeit legen.
1. Möglichst eine 2. Internetanbindung durch einen anderen Anbieter (Fallback). Die sollte nach Möglichkeit auch physisch getrennt in Eurer Firma auflaufen. Dafür tut es dann auch eine etwas schwächere Leitung (ist ja nur für den Notfall da)
2. Eine HA-Lösung für die Firewall, so dass bei einem möglichen Ausfall der Hardware umgehend das Fallback-Gerät übernehmen kann.

Gruß
Dirk
wuurian
wuurian 08.08.2017 um 08:54:37 Uhr
Goto Top
Alternativ natürlich per Authentifizierung direkt an der Box - ist halt nicht ganz so benutzerfreundlich.
Dieser Punkt ist kein Muss, aber schön wäre es.

Du könntest auch mit festen IP-Adressen arbeiten auf der Watchguard.

Ist ja alles noch sehr theoretisch, mach dir auf jeden Fall Gedanken wer die Vertretung übernimmt.

Du kannst dich ja gleich mit einem Systemhaus deiner Wahl in der Nähe zusammen setzen, und mit denen das auch nochmal genau durchgehen.

Du weißt ja im Großen & Ganzen schon was zu tun ist face-smile

Viel Erfolg!
echo11
echo11 08.08.2017 um 14:58:03 Uhr
Goto Top
Zitat von @monstermania:

Ich lese aus Deiner Mail heraus, dass Euer Unternehmen stark von einer funktionierenden Internetanbindung abhängig ist. Von daher würde ich verstärkt Augenmerk auf die Verfügbarkeit legen.
1. Möglichst eine 2. Internetanbindung durch einen anderen Anbieter (Fallback). Die sollte nach Möglichkeit auch physisch getrennt in Eurer Firma auflaufen. Dafür tut es dann auch eine etwas schwächere Leitung (ist ja nur für den Notfall da)
2. Eine HA-Lösung für die Firewall, so dass bei einem möglichen Ausfall der Hardware umgehend das Fallback-Gerät übernehmen kann.

Hey Dirk,

die Glasfaserleitung, die wir beschaffen werden, wird komplett über bereits verfügbare Leitungen des Anbieters realisiert. Dadurch können wir von einer angegebenen Verfügbarkeit mit 99,95% sowie einer Sollreparaturzeit von vier Stunden planen.

Nichtsdestotrotz sieht der Plan vor, die vorhandene Kupferleitung als Fallback zu behalten. Damit sind zwei verschiedene Technologien von zwei verschiedenen Anbietern im Einsatz.
Bezüglich einer zweiten Firewall: dies habe ich bereits "auf dem Zettel".


Zitat von @wuurian:
Du könntest auch mit festen IP-Adressen arbeiten auf der Watchguard.
Theoretisch ja. Allerdings fällt dann der Punkt weg: die Möglichkeit unterschiedliche Berechtigungen für unterschiedliche Rollen zu vergeben.

Ist ja alles noch sehr theoretisch, mach dir auf jeden Fall Gedanken wer die Vertretung übernimmt.

Du kannst dich ja gleich mit einem Systemhaus deiner Wahl in der Nähe zusammen setzen, und mit denen das auch nochmal genau durchgehen.

Ist mir zu 100% bewusst, hier arbeiten wir an Lösungen.
echo11
echo11 08.08.2017 um 15:43:40 Uhr
Goto Top
Zitat von @certifiedit.net:

ich kann dir Sophos nahelegen, aber viel wichtiger ist eine klare IT-Strategie aber auch hierüber kann man sich gerne unterhalten.

Hey Namensvetter,

würdest du eher auf die UTM- oder auf die XG-Reihe setzen?

Gruß
certifiedit.net
certifiedit.net 08.08.2017 um 18:33:49 Uhr
Goto Top
Je nach Einsatzfeld, siehe IT-Strategie. face-wink
echo11
echo11 09.08.2017 um 10:17:38 Uhr
Goto Top
Zitat von @certifiedit.net:

Je nach Einsatzfeld, siehe IT-Strategie. face-wink


Und unabhängig von der IT-Strategie? Es gibt nicht wenige Stimmen, die den Einsatz einer XG derzeit ablehnen...
certifiedit.net
certifiedit.net 09.08.2017 um 11:37:24 Uhr
Goto Top
unabhängig von der IT-Strategie solltest du mittlerweile oftmals nichtmal mehr eine Bauplatz wählen. face-wink