mike55
Goto Top

Firma mit ca. 100 PCs. Welche Firewall? Cisco? Endian? Sonicwall?

Welche von den ganzen Firewalls ist zu empfehlen?

Hallo und guten Abend,

Ich bin auf der Suche nach einer Firewall, hinter der sich 100 Clients und ein paar Server befinden sollen. Alleine auf Administrator.de habe ich dazu über 10 Artikel durchgelesen, trotzdem wurde ich nicht viel schlauer. Deshalb Frage ich mal, ob mir jemand empfehlen kann, was das beste für mich ist.

Gewünschte Funktionen im Groben:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
Mächtiges Contentfiltering, Proxy wäre super
Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Zwei WAN-Verbindungen verwaltbar.

Ich dachte dabei hauptsächlich an Cisco oder Endian (ipcop basierende Appliance). Erfahrung habe ich leider mit beiden nicht.

Was meint ihr dazu?

Danke und gute Nacht,

Michael.

Content-ID: 148664

Url: https://administrator.de/forum/firma-mit-ca-100-pcs-welche-firewall-cisco-endian-sonicwall-148664.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

45877
45877 09.08.2010 um 21:47:07 Uhr
Goto Top
Hallo,

die erste Frage waere die nach dem Budget und was für einen
Durchsatz du braucht (z.B. bei VPN) und ob du beim VPN spezielle
Wünsche hast. Ansonsten würd ich auch noch Astaro und Fortinet
in den Ring schicken bzw. PfSense wenn es nicht zwingend ne Appliance
sein muss...
Pjordorf
Pjordorf 09.08.2010 um 21:49:24 Uhr
Goto Top
Hallo Michael,

Zitat von @mike55:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
VPN passthrough oder als VPN Server dienen?

Mächtiges Contentfiltering, Proxy wäre super
Application Layer Gateway?

Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Welchen Hersteller der Antivirenscnanner solls den sein?

Zwei WAN-Verbindungen verwaltbar.
Nur verwaltbar oder auch nutzbar? DUAL WAN, Backup oder was?

Erfahrung habe ich leider mit beiden
nicht.
Nimm doch einen Hersteller mit dem du schon erfahrung gemacht hast. Womit hast du denn Erfahrung? Musst du die nur verkaufen oder auch selbst einrichten und betreuen?

Natürlich gibt es noch weitere Fragen, hier nur ein paar.
Welcher datendurchsatz muss die "Firewall" in welcher richtung können?
wie viele VPN's werden benötigt?
Welcher VPN soll es sein?
Wird eine echte DMZ benötigt oder nicht?

Peter
aqui
aqui 09.08.2010 um 23:05:12 Uhr
Goto Top
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu ansiehst sollte dir das auch schnell klar werden !
mike55
mike55 09.08.2010 um 23:23:23 Uhr
Goto Top
Hallo und danke für eure Beiträge, und ... Entschuldigung für meine ungenaue Fragestellung.

Also ich muss sie nicht verkaufen, leider ;). Ich muss sie kaufen und auch administrieren. Budget liegt so bei 7.000€ maximal. Die Firewall soll als VPN-Server dienen. Zu Beginn sollten 4 Netz zu Netz und 2 - 3 gleichzeitige Pc zu Netz Verbindungen hergestellt werden. Später werden es dann eher mehr als weniger werden. VPN-Durchsatz wird am Anfang nicht mehr als 4 Mbit/s in beiden Richtungen sein, denn mehr gibt die bestellte synchrone 4Mega Internetverbindung nicht her. Und je nach VPN-Verbindung möchte ich auch sagen können, welche Ports offen sind. Z.b. Von der Außenstelle kommend sind alle Ports offen, vom Kunden kommend sind nur die unbedingt benötigten Ports offen. Das Sahnehäubchen wäre dann noch wenn ich für jede VPN eine Art DMZ machen könnte, also dass beispielsweise die vom Kunden kommende VPN nur auf einen Computer in der DMZ zugreifen darf. Dafür müsste dann die Firewall mehrere DMZ machen können, weiß leider noch nicht ob ein solche Szenario dann überhaupt möglich ist.
Es kommen dann zwei WAN-Verbindungen, eine wie gesagt 4Mega synchrone Linie, welche nur für VPN und Emails verwendet werden soll, und eine normale 8Mega Linie, über welcher dann der restliche Traffik geschickt werden soll. Eine dritte billigere Backup-Verbindung finde ich auch sinnvoll, wäre dann aber wieder das Sahnehäubchen. Den Hersteller der Antivierenlösung finde ich nicht so wichtig, da ja bereits ein Vierenscanner besteht ist das nur als eine zusätzliche Sicherheit gedacht, was auch nicht zwingend ist.

Recht viel Erfahrung in diesem Bereich kann ich leider nich vorzeigen. Bezüglich Einrichtung verhandle ich mit dem Lieferant, ob er das machen kann.

Vielen Dank schon inzwischen für eure Antworten.

@aqui: Sorry, du hast recht. Es basiert nicht darauf, es ist eine Weiterentwicklung davon. Artikel aus Wikipedia:
Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet.


Michael.
Dextha
Dextha 10.08.2010 um 06:50:07 Uhr
Goto Top
Hi Michael,

wie bereits chewbakka meinte, würd ich mir Astarto ansehen... sollte im Budget liegen und kann alles was du brauchst....

LG. Dextha
85100
85100 10.08.2010 um 08:27:40 Uhr
Goto Top
Servus,

also ich kann die Astaro auch wärmstens empfehlen!

LG
harald21
harald21 10.08.2010 um 08:34:39 Uhr
Goto Top
Hallo,

wenn du noch keine Erfahrung hast, so kann ich dir eigentlich eine Fortinet-Firewall nur empfehlen, das Webinterface ist wirklich sehr übersichtlich und logisch aufgebaut.

Auch die Performance stimmt, für 100 User + einige Server mit 4 Mbit/s würde ich grob schätzen, das eine FG-200B aureichen sollte (evtl ist mit deinem Budget sogar ein HA-Cluster drin). Das Gerät hat 8 Gbit-Ports, die frei verwendet werden können(LAN, WAN bzw. DMZ), Details findest du hier: http://www.fortinet.com/products/fortigate/200B.html

Den Content kannst du auf Viren scannen (Fortinet entwickelt die Signaturen selbst), das kostet dann aber eine järliche Gebühr, ist aber als zusätzlicher Schutz sehr sinvoll, Gescannt werden können die Protokolle http, https, ftp, smtp, smtps, pop3, pop3s, imap und imaps.
Site-to-Site VPN's kannst du als IPSec realisieren, Client-to Sie-VPN's als SSL-VPN oder mittels PPTP.

mfg
Harald
Neomatic
Neomatic 10.08.2010 um 09:49:18 Uhr
Goto Top
Hallo,

bei den Anforderungen bin ich auch der Meinung das du dir mal die Astaro Geräte anschauen solltest.


Gruß

Neomatic
45877
45877 10.08.2010 um 10:51:55 Uhr
Goto Top
Zitat von @aqui:
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu
ansiehst sollte dir das auch schnell klar werden !


Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch "Smoothwall-" und "IPcop-frei" werden.

https://secure.wikimedia.org/wikipedia/de/wiki/Endian_Firewall#Geschicht ...
Der-Phil
Der-Phil 10.08.2010 um 12:04:06 Uhr
Goto Top
Hallo,

Astaro ist sicher nicht schlecht, aber ich würde mir wirklich überlegen, ob ein Proxy auf der Firewall etwas zu suchen hat...

Ich bin inzwischen eher der Verfechter von getrennten Geräten, was in Deinem Budget auch absolut kein Problem sein sollte.
Dementsprechend würde ich:

- einen IPSEC-Router nehmen, der auch Firewalling macht, z.B. Funkwerk R1200, Mikrotik, m0n0wall, etc.
- einen Squid-Proxy mit HAVP oder Dansguardian und beliebigem Virenscanner zum Contentscanning

Das Ganze ist robust und flexibel.

Ein virenscannender Proxy verursacht recht viel Last und könnte die Stabilität eines Kombisystems nicht gerade positiv beeinflussen.

Phil, der früher ein Kombigerät hatte...
Dani
Dani 10.08.2010 um 22:58:45 Uhr
Goto Top
Hi Michi,
wir setzen bei uns im Netzwerk die Cisco ASA's ein bzw. bei Tochterfirmen vermehrt Sonicwall NSA3xxx Serien ein.

Da du mit Cisco nichts am Hut hast, würde ich dir raten es auch dabei zulassen. Für den Einstieg nicht geeignet.
Mit der Sonicwall sind wir sehr zufrieden bzw. auch unsere Kunden. Schnurrt wie ein Kätzchen und läuft und läuft. Wichtig ist dort eben, dass du ca. weisst was an (VPN)-Datenverkehr durchlaufen soll. Das solltest du aber bei jeder Firewall berücksichtigen.

Ich sag mal so, die großen Hersteller schenken sich von der Funktion "Firewall" nicht mehr viel. Da machen eher die Services darum den feinen Unterschied. Bei Sonicwall kannst du das Ganze z.B. auch managen lassen.
Contentfilter, Spamfilter, Antiviren/Spamfilter, etc... ist natürlich auch immer eine Kostenfrage und was ihr von den Funktionen bisher im Firmennetz über andere Hardware / Software abbildet. Was für dich "passt" ist aus der Ferne nicht verbindlich zu sagen!


Grüße,
Dani
itelis
itelis 16.08.2010 um 12:11:00 Uhr
Goto Top
Hallo in die Runde,

die Tips mit endian, Astaro etc. sind sicherlich gut gemeint. Aber wie sieht es mit der Bedienbarkeit aus?
Wie Michael schreibt, hat er keine Erfahrung im Umgang mit Firewalls.

Hier gibt es nur eine wirkliche Alternative - gateprotect.
- Deutscher Hersteller mit Sitz in Hamburg
- Extrem einfache Bedienung, auch für Firewallanfänger
- Total simples Einrichten von VPN und DMZ etc.
- Deutscher Support
- Schnelle Reaktionszeiten

- Firewall und UTM- bzw Proxyserver können auch getrennt werden.

Schau dir mal die Firewall unter www.gateprotect an. Hier findest du auch einen voll funktionsfähigen Offlineclient zum testen und herumspielen.
Preise gibt`s unter www.firewallshop24.de

Gruß

Marc
BDS-ChrBo
BDS-ChrBo 16.08.2010 um 13:59:32 Uhr
Goto Top
... ich würde mir mal die Palo Alto Firewalls anschauen ....

http://www.paloaltonetworks.com/

Die Dinger sind wirklich genial und kostentechnisch mit einer ähnlichen Astaro vergleichbar

Wenn keine Kenntnisse in der Konfiguration vorhanden sind kann ich nur folgende münchner Firma empfehlen http://www.indevis.de.

Grüße

Chris
mike55
mike55 17.08.2010 um 16:44:06 Uhr
Goto Top
Hallo Leute,

vielen herzlichen Dank für die ganzen Posts.

Hab mir mittlerweile alle erwähnten Geräte angesehen, auch die Meinung von Phil habe ich mir zu Herzen genommen. (Deine Meinung leuchtet mir ein). Dennoch habe ich mich für ein kombiniertes Gerät entschieden, und zwar ist die Wahl auf Endian gefallen.

Was sprach für Endian?
Die Weboberfläche ist innovativ, zwar nicht so wie bei gateprotect aber dennoch innovativer als bei Astaro.
Bei der Astaro bekam ich die Fehlermeldung "Unknown Error", als ich die Online-Demo getestet habe. (Sehr schlechte Werbung für Astaro). Endian lief bei allen meinen Aktionen stabil. (Ich hoffe das bleibt auch so)
Funktionsumfang in etwa gleich.
Endian ist ein Produkt aus Europa.
Gateprotect ist innovativ, das muss ich sagen, habe sie mir aber nur kurz angesehen, da ich die Endian schon bestellt habe. Ist Gateprotect auch Plattformunabhängig oder läuft das nur unter Windows? Gibt's dort auch eine Weboberfläche?

Danke nochmals für eure Hilfe!

Grüße
Michael.
itelis
itelis 17.08.2010 um 16:55:18 Uhr
Goto Top
Hallo Michael,

Eine Weboberfläche wird es für gateprotect bald geben. Derzeit ist der Client auf die Windowsoberfläche gebunden.
Für erfahrene Administratoren gibt es die Möglichkeit der Programmierung über die Shell.

Richtig genial wird die Bedienung und das Monitoring durch das gateprotect Command Center. Hier ist die Verwaltung von bis zu 500 Appliances möglich.

Ich wünsche dir viel Erfolg mit der Endian.

Gruß

Marc