mister001x
Goto Top

Firewall Kaufberatung - Sophos, FortiGate, Palo Alto, Netgate, Securepoint

Hallo liebe Mitglieder,

ich habe eine Auflistung der mir bekannten Firewallhersteller. Ich würde gerne Eure Meinung zu den Modellen/Herstellern hören. Irgendeiner der überhaupt nicht empfehlenswert ist? Einer der das "non-plus-ultra" ist?

Generell brauche ich eine Firewall für 150-250 Benutzer, Benutzerfreundlich, gerne mit SPAM-Filter und guten VPN Durchsatz. Die in der Liste haben ungefähr alle +/- die selbe Leistung in der Hardware und daher geht es eher um Updatepolitik, Kundenservice, Softwarebedienbarkeit etc.

Ich bin auf Eure Meinungen gespannt, gerne auch Vorschläge von Alternativen. Es geht mir weniger um die Leistung, sondern um das Gesamtpaket und die Erfahrungen mit den Herstellern.

Vielen Dank face-smile

*falls es ein "Kaufberatungs"-Bereich gibt, gerne dahin verschieben.
unbenannt_

Content-ID: 41680721869

Url: https://administrator.de/forum/firewall-kaufberatung-sophos-fortigate-palo-alto-netgate-securepoint-41680721869.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

Visucius
Visucius 26.03.2024 aktualisiert um 17:58:34 Uhr
Goto Top
OPNsense fehlt (u.a.) noch:
https://shop.opnsense.com

https://www.securepoint.de
Watchguard
Cisco
Sonic
Juniper
usw.

Bzgl. der Sicherheit kannste ja hier mal nachsehen:
https://www.cvedetails.com/vulnerability-search.php

(EDIT der CVE-Suchmaske)
em-pie
em-pie 26.03.2024 um 16:14:53 Uhr
Goto Top
Moin,

Kann nur von der XGS (19.5MR3) sprechen:
Spamfilter selbst ist techn. OK, von der Bedienung definitiv ausbaufähig…

Ich würde aber den Antispamfilter auskoppeln. Das können andere besser: Scoring, Sortierung, Zeitraum der Betrachtung…

Von der Leistung er ist die XGS Top.
Zum Support mit Sophos selbst kann ich nicht viel sagen. Die Kisten liefen bei uns bisher solide. Hatten vor 6 oder 8 Jahren mal ein Problem, war eher schleppend. Da war unser Systemhaus besser…
Mister001x
Mister001x 26.03.2024 aktualisiert um 16:18:19 Uhr
Goto Top
Danke.
Wir haben aktuell eine SG Serie der Sophos und wir befinden den Spam-Filter auch als OK.
Tatsächlich habe ich mir das auch angeschaut (zB. Proxmox Mail Gateway) und daher wäre zB. der Netgate ohne Spamfilter auch eine Option.
DCFan01
DCFan01 26.03.2024 aktualisiert um 16:31:29 Uhr
Goto Top
WIr haben das gleiche Problem..ich suche nach einer Nachfolger-Lösung für die Sophos SG bei verschiedenen Kunden.
Wir waren mit dieser bisher großteils sehr zufrieden aber die neueren XGS gefallen mir nicht.


Ich bin auf die Firma XNET gestoßen, hat da einer von euch Erfahrung damit?

https://www.xnetsolutions.de/product/sx-gate-utm-firewall/
erikro
erikro 26.03.2024 um 16:28:49 Uhr
Goto Top
Moin,

Stormshield fehlt auch noch in der Liste.

Sophos? Nie wieder, wenn ich es irgendwie verhindern kann. Seit der XGS ist vieles in der Cloud und teilweise so unübersichtlich und unlogisch, dass man sich immer wieder einen Wolf sucht. Das sagen selbst unsere Dienstleister, die den Mist vertreiben und raten von einigen Funktionen explizit ab. Unter anderem das Mail-Gateway.

my 2 cents
aqui
aqui 26.03.2024 um 16:46:06 Uhr
Goto Top
falls es ein "Kaufberatungs"-Bereich gibt, gerne dahin verschieben.
Das kannst aus guten Gründen nur DU als Threadowner selber!
FAQs lesen hilft wirklich!! 🧐
LauneBaer
LauneBaer 26.03.2024 um 17:38:06 Uhr
Goto Top
Wir sind nach jahrelanger Watchguard jetzt mit der ersten Sophos XGS auch zufrieden. In meinen Augen in der Bedienung deutlich übersichtlicher, wobei das Konfigurieren der Regeln teilweise echt (für mich) unlogisch ist, aber gut. Wenn man mal eine hat, kann man die ja klonen. xD
Deren Spamfilter wird nicht genutzt.
Avoton
Avoton 26.03.2024 um 17:48:37 Uhr
Goto Top
Moin,

Ich kann nur von OpnSense und Securepoint sprechen.

Bei Securepoint ist der Support (m.M.n.) hervorragend, mit der neuesten Firmware ist die Bedienbarkeit wegen eines kompletten UI Reworks nochmal deutlich gestiegen.
Unsere Kunden im RZ werden alle von einer Securepoint Appliance geschützt und wir sind sehr zufrieden damit.

OpnSense hat natürlich den enormen Kostenvorteil, dafür aber auch in der kostenlosen Version keinen Herstellersupport.

Gruß,
Avoton
Dani
Dani 26.03.2024 um 18:47:48 Uhr
Goto Top
Moin,
Generell brauche ich eine Firewall für 150-250 Benutzer, Benutzerfreundlich, gerne mit SPAM-Filter und guten VPN Durchsatz.
ein guter, verlässlicher Spam-Filter hat auf einer Firewall nichts zu suchen. Dieser UTM Hype verstehe ich immer weniger. Die SPAM Filter sind in der Regel kaum vergleich mit einem Produkt eines Herstellers, welcher sich ausschließlich damit beschäftigt.

Ich bin auf Eure Meinungen gespannt, gerne auch Vorschläge von Alternativen.
Barracuda CloudGenFirewall und Palo Alto. Was anderes kommt mir nicht mehr ins Haus.


Gruß,
Dani
iDeathz
iDeathz 26.03.2024 aktualisiert um 19:50:50 Uhr
Goto Top
Hi,

ich kann dir die Palo Alto empfehlen, wenn du das notwendige Budget hast (ist glaub im vgl. einer der teuersten Hersteller) und du dich auch regelmäßig mit der Firewall beschäftigst (Gilt aber eigentlich für jeden Hersteller). Ich finde das Regelwerk und die notwendigen Profile sehr logisch aufgebaut. Die App-ID im Regelwerk und dem Service Application-Default benötigst du kaum noch die manuelle Pflege von Ports, da diese Ports als Standard Ports in der Application hinterlegt ist (z. B. gmail-base Port 443, alles andere über Port 443 ist damit nicht erlaubt).
Ansonsten funktioniert bei uns der VPN Client Global Protect von Palo Alto sehr gut. Dieser macht klassisch IPSec und als Fallback SSL-VPN, falls der Port für IPSec im Hotel beispielsweise nicht erlaubt ist. Logs fürs Monitoring ist hervorragend und ist auch logisch aufteilt. Wenn du das Prinzip verstanden hast, bekommst du alles gefiltert und siehst das was du sehen möchtest. Ich betreibe selbst ein Cluster aufgeteilt in zwei verschiedene Standorte und auch das funktioniert super. Auch die CLI ist logisch aufgebaut und hat mir einiges an Arbeit erspart.

Fortigate finde ich auch sehr logisch aufgebaut. Manchmal finde ich aber die Web-GUI etwas klein (so eine Box fürs Application Control). Was mir hier besonders gut gefällt: Wenn du ein Zonenkonzept hast, dann gruppiert die Firewall dein Regelwerk automatisch ein z. B. Zone-SAP to Zone-IAM. Monitoring-Logs finde ich relativ ähnlich zur Palo Alto und damit sehr gut. Hier betreibe ich auch das Cluster in zwei verschiedene Standorte und auch hier klappt es super. Was mir aber hier auffällt, dass die Fortigate des Öfteren aufgrund von Sicherheitslücken in der Presse steht. Die Fix kommen dafür idr. aber recht schnell. Auch hier meine Empfehlung, da ich ansonsten sehr zufrieden bin.

Sophos XG kenne ich nur in der Home Variante. Im Vergleich zu den beiden vorherigen Lösungen, ist es ok. Die Firewall GUI ist extrem klein, ka ob Sie es mittlerweile anders gelöst haben. Das Log fand ich furchtbar, fand dieses Live Log bei der SG aber noch furchtbarer :D. Da haben Sie sich mittlerweile aber verbessert. Konfigurationen ließen sich nicht in der CLI abbilden, dass fand ich sehr schade.

Barracuda NG funktioniert, jedoch finde ich den FAT-Client nicht gut. Evtl. liegt es nur an mir, jedoch stürzte diese öfters mal ab oder geriet in ein Timeout und machte ein Rollback (hier musste ich den Timeout erhöhen). Auch hier betreibe ich das Cluster in zwei verschiedene Standorte, der jedoch durch die Fortigate abgelöst wird -> sprich wir migrieren.

Unsere Tochter betreibt außerdem die Juniper SRX. Mir gefällt die CLI sehr gut, jedoch hast du hier eine hohe Lernkurve. Wenn man die Firewall verstanden hat, ist Sie eigentlich auch nicht so schlimm wie gedacht. Killer-Feature ist wohl commit check | compare | rollback | whatever :D. Diese Funktion vermisse ich leider auf der Palo Alto und der Fortigate.


Ansonsten schmeiß ich mal Checkpoint in den Raum. Ich habe hier keine Erfahrungen, die musst du dann bei dir selbst Evaluieren bzw. dass solltest du mit allen Produkten machen, die für dich Potentiell in Frage kommen.

Schlussendlich muss du deine Anforderungen selber aufstellen, ein Konzept erarbeiten und das ganze zu evaluieren.
radiogugu
radiogugu 26.03.2024 um 20:33:40 Uhr
Goto Top
Nabend.

Wir sind aktuell in Umstieg von Sophos auf SonicWall NSa4700 für 150 Benutzer (ca. 20 - 30 ständig per VPN eingewählt).

SonicWall hatte ich beim vorherigen Arbeitgeber und war sehr zufrieden.

Sophos ist bei mir unten durch. Kämpfe gerade noch mit einer XGS116 und der aktuellsten Firmware face-sad

Als Mailgateway nutzen wir momentan noch Exchange Online Protection. Hier liebäugle ich aber auf eine Cloud Barracuda beim Dienstleister zu wechseln. EOP ist etwas träge und das ständige Verschieben seitens der Microsh*t Admin Center geht mir mächtig auf die Fackel.

Gruß
Marc
Globetrotter
Globetrotter 26.03.2024 um 20:55:06 Uhr
Goto Top
@iDeathz
Jeder will das was Ihm passt.... Das gibt es auch Dauer aber nicht. Daher finde ich Deine Darstellung recht gut formuliert.
Wir nutzen hier diverse Backbones um jedem einigermaßen gerecht zu werden. Ohne Partner wäre das aber nicht möglich.

Gruss Globe!
SeaStorm
SeaStorm 27.03.2024 um 08:10:01 Uhr
Goto Top
Bang for Buck: Fortigate, hat aber keinen Spamfilter. Das würde ich aber eh über einen dedizierten Dienst machen der sich da spezialisiert hat. Kann ansonsten so ziemlich alles für einen sehr fairen Preis. Muss man aber oft patchen und der SSL-VPN Client ist grauenhaft (Wird aber im moment grad erwachsen)

Ansonsten Palo Alto oder Checkpoint. Teuer, aber sehr ausgereift

Von Sophos und Cisco kann ich nur dringend abraten. ### Software, ### Service, ### Bedienkonzept.
Sophos werde ich nie wieder auch nur ansehen.Seit XGS totaler Müll
Cisco Firewalls sind teuer und unsicher. Muss man glaube ich nicht drüber reden.
Mister001x
Mister001x 27.03.2024 aktualisiert um 11:45:39 Uhr
Goto Top
@Dani
Moin,

Thema Spam, gilt dein Vorschlag der Barracuda diesbezüglich oder auch als Firewall?
Als Spamfilter kenne ich Barracuda, als Firewall nicht. Empfehlenswert?
Mister001x
Mister001x 27.03.2024 um 08:40:25 Uhr
Goto Top
@iDeathz
Besten Dank für deine Ausführlichen Erfahrungsbericht. Sehr hilfreich!
Mister001x
Mister001x 27.03.2024 um 08:42:29 Uhr
Goto Top
@SeaStorm
Dankeschön für deinen Erfahrungsbericht face-smile Sehr hilfreich!
Mister001x
Mister001x 27.03.2024 um 08:47:14 Uhr
Goto Top
@radiogugu
Danke, ich werde Sonicwall mal anschauen.
Coreknabe
Coreknabe 27.03.2024 aktualisiert um 10:33:45 Uhr
Goto Top
Moin,

+1 für Barracuda CG. Das Konzept ist durchdacht, der Support ist klasse, sehe für uns keinen Grund, den Hersteller zu wechseln.

Dass der Spamfilter separat neben der FW laufen sollte, geschenkt. Ist halt wie ein Multifunktionsgerät bei Druckern, kann alles ein bisschen, aber nichts so richtig gut face-wink

Achtung bei Spamfilter, den bietet Barracuda auch an (Email Security Gateway)! Die Funktionalität an sich ist OK, aber längst nicht mehr auf dem technisch aktuellsten Stand. Barracuda propagiert hier sehr stark seine Cloudservices, die Appliance ist zum lästigen Stiefkind geworden: Keine hilfreichen neuen Funktionen, Sicherheitsupdates fragwürdig. Letzteres scheint sich zuletzt gebessert zu haben, wir hatten allerdings 1,5 Jahre ohne jegliche Updates! Soll mir keine erzählen, dass da sicherheitstechnisch nichts nötig gewesen wäre... Barracuda kündigt zwar seit Jahren ein großes Appliance-Update an, es passiert aber nix. Wann das denn mal passieren soll, darauf bekommst Du bei Barracuda keine Antwort. Mein Tipp: Nie.

Securepoint hatten wir vor Jahren im Einsatz, davon kann ich nur abraten. Support nur über Fachhändler, nicht beim Anbieter direkt. Funktionalität so mittel, erfüllt seinen Zweck. Einer der größten Lacher: Vor etwa 1,5 Jahren (?) haben die superstolz ihre GeoIP-Funktionalität präsentiert...

Gruß

EDIT: Probleme mit dem Barracuda Firewall Admin kann ich nicht bestätigen. Läuft bei uns stabil, ist mir so gut wie noch nie abgestürzt.
em-pie
em-pie 27.03.2024 um 10:50:30 Uhr
Goto Top
Bzgl. AntiSpam Engine/ -System werde ich mal noch den NoSpamProxy von Net-At-Work ins Rennen face-wink
iDeathz
iDeathz 27.03.2024 um 11:18:49 Uhr
Goto Top
Hi, ich weiß leider auch nicht wirklich woran es liegt. Habe alle NG-Admin Versionen ausprobiert, die zurzeit Supportet wird und ein frisches Windows ohne Domänenmitgliedschaft getestet, leider ohne Erfolg. Laut dem Barracuda Support der eigentlich sehr gut ist, liegt es dass wir eine extrem große Routing Table haben und entsprechend auch viele Regeln. Bei jeder Konfigurierensänderung wird die gesamte Konfig nochmals gecheckt und das kostet Zeit. Die Hardware ist aber zur keiner Zeit ausgelastet.

Will die Barracuda nicht schlecht reden, dass entspricht nur meinen Erfahrungen mit der Firewall in Zusammenhang mit unserer Umgebung.
Einmannshow
Einmannshow 27.03.2024 aktualisiert um 11:20:48 Uhr
Goto Top
Pro Sophos

Oft unterschätzt und einer der Punkte bei denen pfSense und OPNSense afaik derzeit noch passen, ist das Sophos Sicherheitskonzept für die Clients/Endgeräte. Diese werden bei erkanntem Bedarf sofort vom LAN isoliert. Dazu bietet es umfangreiche Analysemöglichkeit bei Auffälligkeiten.

Wir haben mit Central Sophos für unsere XGS und der dazu passenden Software gute Erfahrungen gemacht. Spamfilter haben wir nicht über die Firewall abgebildet. Zerotrust ist auch (noch) nicht aktiv.
aqui
aqui 27.03.2024 aktualisiert um 11:43:16 Uhr
Goto Top
Pro Cisco Firepower
Mit der richtigen Firmware ist die auch sicher! face-wink
Eine wirklich sichere Lösung sieht aber immer so aus:
network-security.
Mister001x
Mister001x 27.03.2024 aktualisiert um 11:52:06 Uhr
Goto Top
Zitat von @aqui:

Pro Cisco Firepower
Mit der richtigen Firmware ist die auch sicher! face-wink
Eine wirklich sichere Lösung sieht aber immer so aus:

:D
iDeathz
iDeathz 27.03.2024 um 12:02:29 Uhr
Goto Top
Zitat von @aqui:

Pro Cisco Firepower
Mit der richtigen Firmware ist die auch sicher! face-wink
Eine wirklich sichere Lösung sieht aber immer so aus:
network-security.

Du hast die FRITZ!Box für die VPN Einwahl vergessen🤪
erikro
erikro 27.03.2024 um 12:46:59 Uhr
Goto Top
Moin,

Zitat von @radiogugu:
Sophos ist bei mir unten durch. Kämpfe gerade noch mit einer XGS116 und der aktuellsten Firmware face-sad

Bei mir auch. Ein kleiner Erfahrungsbericht mit einem Update im HA-Cluster.

Normalerweise läuft das so, dass der Primary erst das Update macht, dann auf den Secondary schwenkt und neu startet. Dann holt er sich den Primary wieder zurück und fordert den Secondary auf, auch das Update einzuspielen. Was tatsächlich passierte:

Schwenk auf den Secondary klappte theoretisch. Was wir noch nicht bemerkt hatten: Unsere Außenstandorte, die mit REDs angebunden sind, waren teilweise nicht erreichbar. Warum? Dazu gleich. Der Primary startet durch und ... fährt nicht mehr richtig hoch. Allerdings hat er sich schon wieder die Masterfunktion geholt. Nichts geht mehr. Also runter in den Serverraum und den Primary wieder abgeschaltet, damit der Secondary wieder übernimmt. Das dauerte eine halbe Stunde, bis er endlich gemerkt hat, dass der Primary weg ist.

Dann Fehleranalyse. Erste Auffälligkeit: Die beiden FWs waren nicht synchron. Die REDs, die wir neu eingerichtet hatten - Umstellung von 15 auf 20 - waren auf dem Secondary nicht vorhanden. Also Backup eingespielt. Danach haben wir den Cluster aufgelöst und den Primary zu Fuß geflasht und auch wieder das Backup eingespielt. Dann das Spiel noch einmal mit dem Secondary und den HA wieder aufgebaut.

Der ganze Spaß hat mit Hilfe unseres Dienstleisters einen halben Tag gedauert, an dem die Firma still stand. Toll. Am Ende des Tages teilte uns unser Dienstleister mit, dass Sophos mitgeteilt habe, dass sei ein bekanntes Problem, dass es dazu kommen kann, dass die FWs im HA sich nicht ordnungsgemäß synchen und es dann auch zu Problemen mit dem Update kommen kann. Das werde mit dem nächsten Update behoben. ARGH! Nicht einmal unser DL wusste das vorher.

Liebe Grüße

Erik
Mister001x
Mister001x 27.03.2024 aktualisiert um 12:53:18 Uhr
Goto Top
Zitat von @em-pie:

Bzgl. AntiSpam Engine/ -System werde ich mal noch den NoSpamProxy von Net-At-Work ins Rennen face-wink

Warum genau? face-smile
Wenn die Onlinepreise stimmen und ich muss pro Jahr für 100 Benutzer 2,4k zahlen, ist das Ding leider raus...
Mister001x
Mister001x 27.03.2024 um 13:10:00 Uhr
Goto Top
@radiogugu

Zitat von @radiogugu:

Nabend.

Wir sind aktuell in Umstieg von Sophos auf SonicWall NSa4700 für 150 Benutzer (ca. 20 - 30 ständig per VPN eingewählt).

SonicWall hatte ich beim vorherigen Arbeitgeber und war sehr zufrieden.

Sophos ist bei mir unten durch. Kämpfe gerade noch mit einer XGS116 und der aktuellsten Firmware face-sad

Als Mailgateway nutzen wir momentan noch Exchange Online Protection. Hier liebäugle ich aber auf eine Cloud Barracuda beim Dienstleister zu wechseln. EOP ist etwas träge und das ständige Verschieben seitens der Microsh*t Admin Center geht mir mächtig auf die Fackel.

Gruß
Marc

Hi, kannst du mir hier ein wenig genauer bitte berichten? Wir hätten ca. die identische Anzahl an Usern mit VPN und ich hätte mit zB. die 2700er raus gesucht. Laut Recherche ca. 13.000 für 5 Jahre mit dem Gesamtpaket.

Drf ich fragen, warum die 4700 und in welchem Preisbereich ca.?

Danke.
Mister001x
Mister001x 27.03.2024 um 13:16:26 Uhr
Goto Top
Im groben und ganzen Decken sich die Berichte hier mit meinen Informationen. Die XGS Serie scheint im Vergleich zur SG Serie ein Reinfall zu werden und daher wechseln wir hw auch nicht auf diese.

Zitat von @DCFan01:

WIr haben das gleiche Problem..ich suche nach einer Nachfolger-Lösung für die Sophos SG bei verschiedenen Kunden.
Wir waren mit dieser bisher großteils sehr zufrieden aber die neueren XGS gefallen mir nicht.


Ich bin auf die Firma XNET gestoßen, hat da einer von euch Erfahrung damit?

https://www.xnetsolutions.de/product/sx-gate-utm-firewall/

Noch nie von denen gehört.. :/
Ich finde auch keine Berichte oder ä.
Bei dem Thema Sicherheit setzte ich lieber auf die großen...
Mister001x
Mister001x 27.03.2024 um 13:27:27 Uhr
Goto Top
Zitat von @erikro:

Moin,

Stormshield fehlt auch noch in der Liste.

Sophos? Nie wieder, wenn ich es irgendwie verhindern kann. Seit der XGS ist vieles in der Cloud und teilweise so unübersichtlich und unlogisch, dass man sich immer wieder einen Wolf sucht. Das sagen selbst unsere Dienstleister, die den Mist vertreiben und raten von einigen Funktionen explizit ab. Unter anderem das Mail-Gateway.

my 2 cents

Hi,

hast du Erfahrungen mit Stormshield? Sieht auf der Webseite nicht so uninteressant aus.
Mister001x
Mister001x 27.03.2024 aktualisiert um 13:40:34 Uhr
Goto Top
Zitat von @Visucius:

OPNsense fehlt (u.a.) noch:
https://shop.opnsense.com

https://www.securepoint.de
Watchguard
Cisco
Sonic
Juniper
usw.

Bzgl. der Sicherheit kannste ja hier mal nachsehen:
https://www.cvedetails.com/vulnerability-search.php

(EDIT der CVE-Suchmaske)

Hi,

hättest du Erfahrungen mit OPNsense? Open Source genau wie pfsense.
Da bin ich mir dann doch unsicher :D
Visucius
Visucius 27.03.2024 aktualisiert um 13:47:21 Uhr
Goto Top
hättest du Erfahrungen mit OPNsense?
Schon aber nicht in Deiner Unternehmensgröße. Ist halt der "jüngere" Fork der PFsense. Die meisten Anleitungen kannste mehr oder weniger zwischen den beiden übertragen.

Man sollte berücksichtigen, dass sie die Funktionalität über Plugins erweitern lässt. Viele opensource (wazuh, crowdsec, ...) aber auch kostenpflichtigen "Spielereien" wie z.b. zenarmor

https://www.thomas-krenn.com/de/wiki/OPNsense_Plugins

Guck ich mir die Preise der "Professionals" an, frage ich mich halt, welche Art der Haftung/Versicherung ich mir damit einkaufe. Und das ist imho und meiner Erfahrung nach, ziemlich lütt. Der Vertriebler bzw. zertifizierte DL kann auch nicht in die Blackbox schauen und der Hersteller ist eh für nix verantwortlich.
erikro
erikro 27.03.2024 um 14:13:21 Uhr
Goto Top
Zitat von @Mister001x:
hast du Erfahrungen mit Stormshield? Sieht auf der Webseite nicht so uninteressant aus.

Nein, leider noch nicht. Aber mein Chef hatte die mal und meinte, die sei das Beste, was er je an FW hatte. Deshalb kriegen wir die auch bald.
Mister001x
Mister001x 27.03.2024 aktualisiert um 14:30:00 Uhr
Goto Top
Ich finde bis jetzt die SonicWall NSa 2700 sehr interessant!
Der Preis inkl. HA für 5 Jahre ~ 20k.

Sophos, FortiGate und Palo Alto kosten (kurz im www gesucht) ca.1:3 mehr.

  • Was ich dann aber noch herausfinden wollen würde ist, welche CPU und wie viel GB RAM verbaut sind. Das steht leider nicht im Datenblatt dabei.
  • Deren Vertrieb/Service ist im NRW/Dreiländereck Bereich nicht so ausgebaut. Firewall ohne lokalen Ansprechpartner vor Ort, wäre fast schon raus. Müsste man sich aber dann entsprechend informieren.
  • Informationen zu dem Thema Remote Ethernet Device (RED bei der Sophos) habe ich noch nicht gefunden.
Mister001x
Mister001x 27.03.2024 um 14:25:05 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @radiogugu:
Sophos ist bei mir unten durch. Kämpfe gerade noch mit einer XGS116 und der aktuellsten Firmware face-sad

Bei mir auch. Ein kleiner Erfahrungsbericht mit einem Update im HA-Cluster.

Normalerweise läuft das so, dass der Primary erst das Update macht, dann auf den Secondary schwenkt und neu startet. Dann holt er sich den Primary wieder zurück und fordert den Secondary auf, auch das Update einzuspielen. Was tatsächlich passierte:

Schwenk auf den Secondary klappte theoretisch. Was wir noch nicht bemerkt hatten: Unsere Außenstandorte, die mit REDs angebunden sind, waren teilweise nicht erreichbar. Warum? Dazu gleich. Der Primary startet durch und ... fährt nicht mehr richtig hoch. Allerdings hat er sich schon wieder die Masterfunktion geholt. Nichts geht mehr. Also runter in den Serverraum und den Primary wieder abgeschaltet, damit der Secondary wieder übernimmt. Das dauerte eine halbe Stunde, bis er endlich gemerkt hat, dass der Primary weg ist.

Dann Fehleranalyse. Erste Auffälligkeit: Die beiden FWs waren nicht synchron. Die REDs, die wir neu eingerichtet hatten - Umstellung von 15 auf 20 - waren auf dem Secondary nicht vorhanden. Also Backup eingespielt. Danach haben wir den Cluster aufgelöst und den Primary zu Fuß geflasht und auch wieder das Backup eingespielt. Dann das Spiel noch einmal mit dem Secondary und den HA wieder aufgebaut.

Der ganze Spaß hat mit Hilfe unseres Dienstleisters einen halben Tag gedauert, an dem die Firma still stand. Toll. Am Ende des Tages teilte uns unser Dienstleister mit, dass Sophos mitgeteilt habe, dass sei ein bekanntes Problem, dass es dazu kommen kann, dass die FWs im HA sich nicht ordnungsgemäß synchen und es dann auch zu Problemen mit dem Update kommen kann. Das werde mit dem nächsten Update behoben. ARGH! Nicht einmal unser DL wusste das vorher.

Liebe Grüße

Erik

Danke für deinen Erfahrungsbericht.

Fazit:
HA soll genau das verhindern und hat es aber nicht. Gezahlt für nichts :/
Je nach Unternehmen wohl sehr Geschäftsschädigend...
Morpheus60
Morpheus60 27.03.2024 um 15:43:51 Uhr
Goto Top
Ich weiß nicht, ob die FWls selbst Administrieren kannst, aber denke mal darüber, nach dies außer Haus zu geben, wenn du nicht die Zeit hast dich damit intensiv zu beschäftigen.
Als E-Mail Gateway kann ich Security Gateway for EMail Servers von MDaemon Technologies empfehlen. Das Ding ist sehr granular anpassbar.
Mister001x
Mister001x 27.03.2024 aktualisiert um 15:56:22 Uhr
Goto Top
Zitat von @Morpheus60:

Ich weiß nicht, ob die FWls selbst Administrieren kannst, aber denke mal darüber, nach dies außer Haus zu geben, wenn du nicht die Zeit hast dich damit intensiv zu beschäftigen.
Als E-Mail Gateway kann ich Security Gateway for EMail Servers von MDaemon Technologies empfehlen. Das Ding ist sehr granular anpassbar.

Danke, Security Gateway for EMail Servers kannte ich bis dato nicht. Aber ein ziemlich interessantes Angebot! Das Preis-Leistungsverhältnis scheint auch gut zu sein.

Falls man nicht nur für die Firewall/Sicherheit abgestellt ist, fällt das "intensive" beschäftigten leider weg face-smile Daher muss die neue Firewall auch einfach und unkompliziert zu bedienen sein. Die SG Serie war in der Hinsicht schon gut ausgereift.
Globetrotter
Globetrotter 27.03.2024 um 17:32:04 Uhr
Goto Top
Falls man nicht nur für die Firewall/Sicherheit abgestellt ist, fällt das "intensive" beschäftigten leider weg face-smile Daher muss die neue Firewall auch einfach und unkompliziert zu bedienen sein. Die SG Serie war in der Hinsicht schon gut ausgereift.

Der Umstieg von Sophos UTM auf XGS ist immens.. Das neue GUI ist für Umsteiger sehr ungünstig gewählt und vieles will noch nicht so richtig. Besonders behutsam muss man auch mit den Updates umgehen... Alles in Allem ein ziemlich verzwicktes Ding...
Man muß mittlerweile das mittlerweile echt segmentieren, die alte "Allzweckwaffe" UTM gilt heute nicht mehr. Es gibt keinen Anbieter der "alles kann"... Durch die Gefahrensituation ist man daher auf mehreren Schichten unterwegs. Und die KI gibt uns dann noch den Rest wenn am Montagmorgen SAP nicht mehr funktioniert weil angeblich virusverseucht oder sonstiges enthalten ist...

Gruss Globe!
Mister001x
Mister001x 28.03.2024 um 09:25:21 Uhr
Goto Top
Zitat von @Mister001x:

Hallo liebe Mitglieder,

ich habe eine Auflistung der mir bekannten Firewallhersteller. Ich würde gerne Eure Meinung zu den Modellen/Herstellern hören. Irgendeiner der überhaupt nicht empfehlenswert ist? Einer der das "non-plus-ultra" ist?

Generell brauche ich eine Firewall für 150-250 Benutzer, Benutzerfreundlich, gerne mit SPAM-Filter und guten VPN Durchsatz. Die in der Liste haben ungefähr alle +/- die selbe Leistung in der Hardware und daher geht es eher um Updatepolitik, Kundenservice, Softwarebedienbarkeit etc.

Ich bin auf Eure Meinungen gespannt, gerne auch Vorschläge von Alternativen. Es geht mir weniger um die Leistung, sondern um das Gesamtpaket und die Erfahrungen mit den Herstellern.

Vielen Dank face-smile

*falls es ein "Kaufberatungs"-Bereich gibt, gerne dahin verschieben.

Danke, das spiegelt die Rückmeldungen wieder, die ich auch erhalten habe. Alle, die von der SG auf die XGS Serie umgestiegen sind, sind zwar nicht "unzufrieden", aber hätten sie nochmal die Möglichkeit zu wechseln, würden sie es hw tun.

Daher ist es echt eine wichtige Entscheidung, da man auch nicht täglich die Firewall wechselt...
theratherapie
theratherapie 28.03.2024 um 22:14:43 Uhr
Goto Top
Ich kann nur für die Unifi Dream Machine Pro sprechen... in der Vergangenheit haben wir von Sophos über OPNsense, PFSense, Lancom und sonstige Krücken alles durch. Davon war Sophos XGS noch das halbwegs angenehmste, aber alles langsam, alles unübersichtlich... auch die Cloudkundenverwaltung ist ne Katastrophe via Central, das Sophos Universum mit alles aus einer Hand ist eine nette Idee - aber ne... danke. Unifi ist halt extrem benutzerfreundlich, man muss sich bei der Art der Firewallregeln etwas umgewöhnen - aber das ist Kindergarten.
aqui
aqui 29.03.2024 um 12:40:51 Uhr
Goto Top
Unifi ist halt extrem benutzerfreundlich
Mit Zwangscontroller und Vendor Locking wohl eher nicht. Abgesehen davon sind das alles keine Eigenentwicklungen sondern nur rebrandete OEM Produkte von Accton. Firewall Sicherheit sieht sicher anders aus und "benutzerfreundlich" ist wie immer sehr relativ!
Dani
Dani 30.03.2024, aktualisiert am 31.03.2024 um 19:57:52 Uhr
Goto Top
@iDeathz
Barracuda NG funktioniert, jedoch finde ich den FAT-Client nicht gut. Evtl. liegt es nur an mir, jedoch stürzte diese öfters mal ab oder geriet in ein Timeout und machte ein Rollback (hier musste ich den Timeout erhöhen).
Wenn du dich nach Australien mit einer Latenz von 260ms verbinden möchtest ist das klar. face-wink Ansonsten kann ich innerhalb Europas nicht klagen. Wobei wir primär über das CC arbeiten und damit in der Regel keine direkte Verbindung zu den Geräten aufbauen.

@radioguru
SonicWall hatte ich beim vorherigen Arbeitgeber und war sehr zufrieden.
Taugt der Support inzwischen wieder etwas? Die haben uns mal an einem größeren Standort bei einer Fehlersuche durch eine Test Route das komplette Netzwerk dort abgeschossen. Hoppla, das war uns nicht klar. face-sad

Als Mailgateway nutzen wir momentan noch Exchange Online Protection. Hier liebäugle ich aber auf eine Cloud Barracuda beim Dienstleister zu wechseln.
Nimm etwas wie NoSpamProxy oder Proofpoint. Die Barracuda Spam Produkte haben sich in den letzten 15 Jahren noch nie mit Ruhm bekleckert.

@Mister001x
Thema Spam, gilt dein Vorschlag der Barracuda diesbezüglich oder auch als Firewall?
Ausschließlich Firewall. Wir nutzen die Geräte seit ca. 15 Jahren in Verbindung mit dem CC. Betreiben aktuell über 5.000 Stück davon. Aktuell die Modell F80b, F180b, F600E20, F800C.CCE, F900B.CFEQ und F1000B.CFEQ.

Als Spamfilter kenne ich Barracuda, als Firewall nicht. Empfehlenswert?
Nein.

Wenn die Onlinepreise stimmen und ich muss pro Jahr für 100 Benutzer 2,4k zahlen, ist das Ding leider raus...
Wo hast du die vermeidlichen Preise denn gesehen?

@Coreknabe
Dass der Spamfilter separat neben der FW laufen sollte, geschenkt. Ist halt wie ein Multifunktionsgerät bei Druckern, kann alles ein bisschen, aber nichts so richtig gut
Der Vergleich hinkt ein wenig. Weil wenn der Spamfilter ein- und ausgehend nicht seine Arbeit macht, bist du schneller auf der Blacklist als du schauen kannst. Wenn der Drucker nicht tut, nehme ich einen anderen.

@Einmannshow
Oft unterschätzt und einer der Punkte bei denen pfSense und OPNSense afaik derzeit noch passen, ist das Sophos Sicherheitskonzept für die Clients/Endgeräte. Diese werden bei erkanntem Bedarf sofort vom LAN isoliert. Dazu bietet es umfangreiche Analysemöglichkeit bei Auffälligkeiten.
Das ist eben die Eierlegende Wollmilchsau für den KMU. Mehr aber auch nicht. Schau dir mal die Marktführer in den Bereich an. Da sind Welten dazwischen. Das ist durchaus vergleichbar mit den Spamfiltern. Da liegen auch Welten dazwischen. Das kommt eben daher, dass es eben kein Kernprodukt des Herstellers ist.


Gruß,
Dani
iDeathz
iDeathz 31.03.2024 um 12:27:36 Uhr
Goto Top
@Dani
Nur das wir mit unserer Tochter eigene Glasfasernetze betreiben und ich daher die Möglichkeit habe fast überall Dark Fiber, CWDM oder DDWM nutzen zu können. Mit 18 Außenstellen, glaube ich nicht, dass wir gerade klein sind. So haben wir unsere beiden Rechenzentren auch mit 2x 40G LACP und QSFPS+MPO-Kabel angebunden bis hin zu den Etagen Switchen 2x10G LACP und dass größtenteils als Sternentopologie ohne nennenswerte Probleme.

Also frage ich mich wie deine Annahme, dass unsere Umgebung eine hohe Latenz aufweist, kommt. Ist es hier im Forum nicht mehr gestattet seine eigenen Erfahrungen zu kommunizieren, wenn jemand fragt? Muss jeder die gleiche Erfahrung teilen und es gibt nur eine Linie, die man kommunizieren darf? Gerne können wir aber objektiv das Problem angehen, du scheinst ja Erfahrung zu haben face-smile

Ansonsten wenn du weitergelesen hättest, war der Barracuda Support bereits am Problem dran:

Firewall Kaufberatung - Sophos, FortiGate, Palo Alto, Netgate, Securepoint
Dani
Dani 31.03.2024 um 19:52:53 Uhr
Goto Top
@iDeathz
Also frage ich mich wie deine Annahme, dass unsere Umgebung eine hohe Latenz aufweist, kommt.
Ich hab einfach geraten, weil du bis dato keinerlei Rahmenbedingungen o.ä. genannt hast. Denn mit Aussagen wie " extrem große Routing Tabellen" und "viele Regeln" kann man nicht viel anfangen. Das ist alles relativ und daher interpretierbar. Der Eine findet 100 Stück schon viel, der andere 5.000.

Ist es hier im Forum nicht mehr gestattet seine eigenen Erfahrungen zu kommunizieren, wenn jemand fragt
Mit welchen Teil meines Kommentars habe ich dir das untersagt? Ich kann da nach mehrmaligen lesen nichts feststellen. Ss steht dir natürlich frei den Kommentar zu melden. Dann wird das unabhängig und objektiv bewertet.

Gerne können wir aber objektiv das Problem angehen, du scheinst ja Erfahrung zu haben face-smile
Du kannst gerne hier Frage erstellen und wir helfen dir auf Community Ebene. Alternativ kann ich gerne den Kontakt zu unser Sales Abteilung herstellen. Dann schauen sich das unsere Jungs gerne an. Ob das sinnvoll ist, wenn du bereits mit dem Support von Barracuda tätig bist, vermutlich nicht. Hängt natürlich davon ab, welchen Support Level du hast und welche Prio das Thema einnimmt.


Gruß,
Dani
iDeathz
iDeathz 31.03.2024 aktualisiert um 20:28:27 Uhr
Goto Top
@Dani

Zitat von @Dani:

@iDeathz
Also frage ich mich wie deine Annahme, dass unsere Umgebung eine hohe Latenz aufweist, kommt.
Ich hab einfach geraten, weil du bis dato keinerlei Rahmenbedingungen o.ä. genannt hast. Denn mit Aussagen wie " extrem große Routing Tabellen" und "viele Regeln" kann man nicht viel anfangen. Das ist alles relativ und daher interpretierbar. Der Eine findet 100 Stück schon viel, der andere 5.000.


Ich habe das ja auch nicht so bewertet, sondern der Barracuda Support. Ich kann nicht zu jedem Punkt in die Tiefe gehen und jeden Teil meiner Umgebung erläutern. Bin aber auch hier nicht der Fragesteller und erwartete auch keine Lösung.


Ist es hier im Forum nicht mehr gestattet seine eigenen Erfahrungen zu kommunizieren, wenn jemand fragt
Mit welchen Teil meines Kommentars habe ich dir das untersagt? Ich kann da nach mehrmaligen lesen nichts feststellen. Ss steht dir natürlich frei den Kommentar zu melden. Dann wird das unabhängig und objektiv bewertet.


Naja, hat sich ebenso angehört, dass ich meine Umgebung nicht in den Griff habe. Statt Annahmen zu treffen, hätte man ja auch im gewissen Grad nach Fragen können. Aber es geht hier nicht um mich, sondern ich wollte dem Ersteller nur etwas helfen. Wenn du es aber nicht so gemeint hattest, dann tut es mir leid, dass ich da selbst zu viel hinein interpretiert habe.

Gerne können wir aber objektiv das Problem angehen, du scheinst ja Erfahrung zu haben face-smile
Du kannst gerne hier Frage erstellen und wir helfen dir auf Community Ebene. Alternativ kann ich gerne den Kontakt zu unser Sales Abteilung herstellen. Dann schauen sich das unsere Jungs gerne an. Ob das sinnvoll ist, wenn du bereits mit dem Support von Barracuda tätig bist, vermutlich nicht. Hängt natürlich davon ab, welchen Support Level du hast und welche Prio das Thema einnimmt.


Ich hatte mehrere Session mit unserem Partner und dem Support aus Österreich gehabt. Das Thema ist für mich vom Tisch. Wir sind für uns nicht glücklich mit der Barracuda gewesen und haben zu 90% bereits auf die Fortigate migriert. Wie gesagt, die Barracuda muss keine schlechte Lösung für andere sein.
Aber danke für das Angebot face-smile
Mister001x
Mister001x 02.04.2024 um 10:56:42 Uhr
Goto Top
Zitat von @Dani:
Wenn die Onlinepreise stimmen und ich muss pro Jahr für 100 Benutzer 2,4k zahlen, ist das Ding leider raus...
Wo hast du die vermeidlichen Preise denn gesehen?

Gruß,
Dani

Moin,

ich hatte die Preise bei ADB Distri gefunden, aber konnte mich heute genauer damit beschäftigen und lande eher bei ~825€ Brutto. Und über die Jahre scheint es günstiger zu werden. Die 50-60cent Pro Benutzer/Monat sind OK.

proofpoint.com schaue ich mir auch noch in Ruhe an.

Danke für deine Tipps! Ich werde noch ein Fazit geben.
aqui
aqui 02.04.2024 um 10:57:36 Uhr
Goto Top
Mister001x
Mister001x 02.04.2024 um 11:16:46 Uhr
Goto Top
## Danke an alle, die Ihre Erfahrungen und Meinungen geteilt haben. ##
Das hat besonders mir neue Möglichkeiten eröffnet und diese werde ich in Ruhe durchgehen.
Eine neue Firewall schafft man sich ja nicht über Nacht an face-smile

Ich denke, hier ist genügend gesammelt worden und daher schließe ich das Thema.
Gerne auch per PN, falls jemand er Meinung ist, dass zB. ein Hersteller vergessen worden und unbedingt empfehlenswert ist face-smile
Mister001x
Mister001x 02.04.2024 aktualisiert um 15:07:38 Uhr
Goto Top
Update 1:
Er geht aktuell Richtung SonicWall 2700 + einer externen SPAM-Lösung.
Die haben wie viele auch eine Demo-Version (nur der Dark-Mode ist nervig)
KGunder
KGunder 02.04.2024 um 16:00:37 Uhr
Goto Top
hättest du Erfahrungen mit OPNsense? Open Source genau wie pfsense.
Da bin ich mir dann doch unsicher :D

Wir haben uns letztes Jahr mehrere Firewallsysteme angesehen und uns dann für die OPNsense entschieden:
- Bedienung: übersichtlich
- Funktionalität: Prima
- Updates: regelmäßig
- Preis-/Leistung: Super