Firma mit ca. 100 PCs. Welche Firewall? Cisco? Endian? Sonicwall?
Welche von den ganzen Firewalls ist zu empfehlen?
Hallo und guten Abend,
Ich bin auf der Suche nach einer Firewall, hinter der sich 100 Clients und ein paar Server befinden sollen. Alleine auf Administrator.de habe ich dazu über 10 Artikel durchgelesen, trotzdem wurde ich nicht viel schlauer. Deshalb Frage ich mal, ob mir jemand empfehlen kann, was das beste für mich ist.
Gewünschte Funktionen im Groben:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
Mächtiges Contentfiltering, Proxy wäre super
Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Zwei WAN-Verbindungen verwaltbar.
Ich dachte dabei hauptsächlich an Cisco oder Endian (ipcop basierende Appliance). Erfahrung habe ich leider mit beiden nicht.
Was meint ihr dazu?
Danke und gute Nacht,
Michael.
Hallo und guten Abend,
Ich bin auf der Suche nach einer Firewall, hinter der sich 100 Clients und ein paar Server befinden sollen. Alleine auf Administrator.de habe ich dazu über 10 Artikel durchgelesen, trotzdem wurde ich nicht viel schlauer. Deshalb Frage ich mal, ob mir jemand empfehlen kann, was das beste für mich ist.
Gewünschte Funktionen im Groben:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
Mächtiges Contentfiltering, Proxy wäre super
Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Zwei WAN-Verbindungen verwaltbar.
Ich dachte dabei hauptsächlich an Cisco oder Endian (ipcop basierende Appliance). Erfahrung habe ich leider mit beiden nicht.
Was meint ihr dazu?
Danke und gute Nacht,
Michael.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148664
Url: https://administrator.de/forum/firma-mit-ca-100-pcs-welche-firewall-cisco-endian-sonicwall-148664.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
die erste Frage waere die nach dem Budget und was für einen
Durchsatz du braucht (z.B. bei VPN) und ob du beim VPN spezielle
Wünsche hast. Ansonsten würd ich auch noch Astaro und Fortinet
in den Ring schicken bzw. PfSense wenn es nicht zwingend ne Appliance
sein muss...
die erste Frage waere die nach dem Budget und was für einen
Durchsatz du braucht (z.B. bei VPN) und ob du beim VPN spezielle
Wünsche hast. Ansonsten würd ich auch noch Astaro und Fortinet
in den Ring schicken bzw. PfSense wenn es nicht zwingend ne Appliance
sein muss...
Hallo Michael,
VPN passthrough oder als VPN Server dienen?
Natürlich gibt es noch weitere Fragen, hier nur ein paar.
Welcher datendurchsatz muss die "Firewall" in welcher richtung können?
wie viele VPN's werden benötigt?
Welcher VPN soll es sein?
Wird eine echte DMZ benötigt oder nicht?
Peter
VPN passthrough oder als VPN Server dienen?
Mächtiges Contentfiltering, Proxy wäre super
Application Layer Gateway?Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Welchen Hersteller der Antivirenscnanner solls den sein?Zwei WAN-Verbindungen verwaltbar.
Nur verwaltbar oder auch nutzbar? DUAL WAN, Backup oder was?Erfahrung habe ich leider mit beiden
nicht.
Nimm doch einen Hersteller mit dem du schon erfahrung gemacht hast. Womit hast du denn Erfahrung? Musst du die nur verkaufen oder auch selbst einrichten und betreuen?nicht.
Natürlich gibt es noch weitere Fragen, hier nur ein paar.
Welcher datendurchsatz muss die "Firewall" in welcher richtung können?
wie viele VPN's werden benötigt?
Welcher VPN soll es sein?
Wird eine echte DMZ benötigt oder nicht?
Peter
Servus,
also ich kann die Astaro auch wärmstens empfehlen!
LG
also ich kann die Astaro auch wärmstens empfehlen!
LG
Hallo,
wenn du noch keine Erfahrung hast, so kann ich dir eigentlich eine Fortinet-Firewall nur empfehlen, das Webinterface ist wirklich sehr übersichtlich und logisch aufgebaut.
Auch die Performance stimmt, für 100 User + einige Server mit 4 Mbit/s würde ich grob schätzen, das eine FG-200B aureichen sollte (evtl ist mit deinem Budget sogar ein HA-Cluster drin). Das Gerät hat 8 Gbit-Ports, die frei verwendet werden können(LAN, WAN bzw. DMZ), Details findest du hier: http://www.fortinet.com/products/fortigate/200B.html
Den Content kannst du auf Viren scannen (Fortinet entwickelt die Signaturen selbst), das kostet dann aber eine järliche Gebühr, ist aber als zusätzlicher Schutz sehr sinvoll, Gescannt werden können die Protokolle http, https, ftp, smtp, smtps, pop3, pop3s, imap und imaps.
Site-to-Site VPN's kannst du als IPSec realisieren, Client-to Sie-VPN's als SSL-VPN oder mittels PPTP.
mfg
Harald
wenn du noch keine Erfahrung hast, so kann ich dir eigentlich eine Fortinet-Firewall nur empfehlen, das Webinterface ist wirklich sehr übersichtlich und logisch aufgebaut.
Auch die Performance stimmt, für 100 User + einige Server mit 4 Mbit/s würde ich grob schätzen, das eine FG-200B aureichen sollte (evtl ist mit deinem Budget sogar ein HA-Cluster drin). Das Gerät hat 8 Gbit-Ports, die frei verwendet werden können(LAN, WAN bzw. DMZ), Details findest du hier: http://www.fortinet.com/products/fortigate/200B.html
Den Content kannst du auf Viren scannen (Fortinet entwickelt die Signaturen selbst), das kostet dann aber eine järliche Gebühr, ist aber als zusätzlicher Schutz sehr sinvoll, Gescannt werden können die Protokolle http, https, ftp, smtp, smtps, pop3, pop3s, imap und imaps.
Site-to-Site VPN's kannst du als IPSec realisieren, Client-to Sie-VPN's als SSL-VPN oder mittels PPTP.
mfg
Harald
Zitat von @aqui:
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu
ansiehst sollte dir das auch schnell klar werden !
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu
ansiehst sollte dir das auch schnell klar werden !
Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch "Smoothwall-" und "IPcop-frei" werden.
https://secure.wikimedia.org/wikipedia/de/wiki/Endian_Firewall#Geschicht ...
Hallo,
Astaro ist sicher nicht schlecht, aber ich würde mir wirklich überlegen, ob ein Proxy auf der Firewall etwas zu suchen hat...
Ich bin inzwischen eher der Verfechter von getrennten Geräten, was in Deinem Budget auch absolut kein Problem sein sollte.
Dementsprechend würde ich:
- einen IPSEC-Router nehmen, der auch Firewalling macht, z.B. Funkwerk R1200, Mikrotik, m0n0wall, etc.
- einen Squid-Proxy mit HAVP oder Dansguardian und beliebigem Virenscanner zum Contentscanning
Das Ganze ist robust und flexibel.
Ein virenscannender Proxy verursacht recht viel Last und könnte die Stabilität eines Kombisystems nicht gerade positiv beeinflussen.
Phil, der früher ein Kombigerät hatte...
Astaro ist sicher nicht schlecht, aber ich würde mir wirklich überlegen, ob ein Proxy auf der Firewall etwas zu suchen hat...
Ich bin inzwischen eher der Verfechter von getrennten Geräten, was in Deinem Budget auch absolut kein Problem sein sollte.
Dementsprechend würde ich:
- einen IPSEC-Router nehmen, der auch Firewalling macht, z.B. Funkwerk R1200, Mikrotik, m0n0wall, etc.
- einen Squid-Proxy mit HAVP oder Dansguardian und beliebigem Virenscanner zum Contentscanning
Das Ganze ist robust und flexibel.
Ein virenscannender Proxy verursacht recht viel Last und könnte die Stabilität eines Kombisystems nicht gerade positiv beeinflussen.
Phil, der früher ein Kombigerät hatte...
Hi Michi,
wir setzen bei uns im Netzwerk die Cisco ASA's ein bzw. bei Tochterfirmen vermehrt Sonicwall NSA3xxx Serien ein.
Da du mit Cisco nichts am Hut hast, würde ich dir raten es auch dabei zulassen. Für den Einstieg nicht geeignet.
Mit der Sonicwall sind wir sehr zufrieden bzw. auch unsere Kunden. Schnurrt wie ein Kätzchen und läuft und läuft. Wichtig ist dort eben, dass du ca. weisst was an (VPN)-Datenverkehr durchlaufen soll. Das solltest du aber bei jeder Firewall berücksichtigen.
Ich sag mal so, die großen Hersteller schenken sich von der Funktion "Firewall" nicht mehr viel. Da machen eher die Services darum den feinen Unterschied. Bei Sonicwall kannst du das Ganze z.B. auch managen lassen.
Contentfilter, Spamfilter, Antiviren/Spamfilter, etc... ist natürlich auch immer eine Kostenfrage und was ihr von den Funktionen bisher im Firmennetz über andere Hardware / Software abbildet. Was für dich "passt" ist aus der Ferne nicht verbindlich zu sagen!
Grüße,
Dani
wir setzen bei uns im Netzwerk die Cisco ASA's ein bzw. bei Tochterfirmen vermehrt Sonicwall NSA3xxx Serien ein.
Da du mit Cisco nichts am Hut hast, würde ich dir raten es auch dabei zulassen. Für den Einstieg nicht geeignet.
Mit der Sonicwall sind wir sehr zufrieden bzw. auch unsere Kunden. Schnurrt wie ein Kätzchen und läuft und läuft. Wichtig ist dort eben, dass du ca. weisst was an (VPN)-Datenverkehr durchlaufen soll. Das solltest du aber bei jeder Firewall berücksichtigen.
Ich sag mal so, die großen Hersteller schenken sich von der Funktion "Firewall" nicht mehr viel. Da machen eher die Services darum den feinen Unterschied. Bei Sonicwall kannst du das Ganze z.B. auch managen lassen.
Contentfilter, Spamfilter, Antiviren/Spamfilter, etc... ist natürlich auch immer eine Kostenfrage und was ihr von den Funktionen bisher im Firmennetz über andere Hardware / Software abbildet. Was für dich "passt" ist aus der Ferne nicht verbindlich zu sagen!
Grüße,
Dani
Hallo in die Runde,
die Tips mit endian, Astaro etc. sind sicherlich gut gemeint. Aber wie sieht es mit der Bedienbarkeit aus?
Wie Michael schreibt, hat er keine Erfahrung im Umgang mit Firewalls.
Hier gibt es nur eine wirkliche Alternative - gateprotect.
- Deutscher Hersteller mit Sitz in Hamburg
- Extrem einfache Bedienung, auch für Firewallanfänger
- Total simples Einrichten von VPN und DMZ etc.
- Deutscher Support
- Schnelle Reaktionszeiten
- Firewall und UTM- bzw Proxyserver können auch getrennt werden.
Schau dir mal die Firewall unter www.gateprotect an. Hier findest du auch einen voll funktionsfähigen Offlineclient zum testen und herumspielen.
Preise gibt`s unter www.firewallshop24.de
Gruß
Marc
die Tips mit endian, Astaro etc. sind sicherlich gut gemeint. Aber wie sieht es mit der Bedienbarkeit aus?
Wie Michael schreibt, hat er keine Erfahrung im Umgang mit Firewalls.
Hier gibt es nur eine wirkliche Alternative - gateprotect.
- Deutscher Hersteller mit Sitz in Hamburg
- Extrem einfache Bedienung, auch für Firewallanfänger
- Total simples Einrichten von VPN und DMZ etc.
- Deutscher Support
- Schnelle Reaktionszeiten
- Firewall und UTM- bzw Proxyserver können auch getrennt werden.
Schau dir mal die Firewall unter www.gateprotect an. Hier findest du auch einen voll funktionsfähigen Offlineclient zum testen und herumspielen.
Preise gibt`s unter www.firewallshop24.de
Gruß
Marc
... ich würde mir mal die Palo Alto Firewalls anschauen ....
http://www.paloaltonetworks.com/
Die Dinger sind wirklich genial und kostentechnisch mit einer ähnlichen Astaro vergleichbar
Wenn keine Kenntnisse in der Konfiguration vorhanden sind kann ich nur folgende münchner Firma empfehlen http://www.indevis.de.
Grüße
Chris
http://www.paloaltonetworks.com/
Die Dinger sind wirklich genial und kostentechnisch mit einer ähnlichen Astaro vergleichbar
Wenn keine Kenntnisse in der Konfiguration vorhanden sind kann ich nur folgende münchner Firma empfehlen http://www.indevis.de.
Grüße
Chris
Hallo Michael,
Eine Weboberfläche wird es für gateprotect bald geben. Derzeit ist der Client auf die Windowsoberfläche gebunden.
Für erfahrene Administratoren gibt es die Möglichkeit der Programmierung über die Shell.
Richtig genial wird die Bedienung und das Monitoring durch das gateprotect Command Center. Hier ist die Verwaltung von bis zu 500 Appliances möglich.
Ich wünsche dir viel Erfolg mit der Endian.
Gruß
Marc
Eine Weboberfläche wird es für gateprotect bald geben. Derzeit ist der Client auf die Windowsoberfläche gebunden.
Für erfahrene Administratoren gibt es die Möglichkeit der Programmierung über die Shell.
Richtig genial wird die Bedienung und das Monitoring durch das gateprotect Command Center. Hier ist die Verwaltung von bis zu 500 Appliances möglich.
Ich wünsche dir viel Erfolg mit der Endian.
Gruß
Marc