cement
Goto Top

Hat jemand Erfahrungen mit Watchguard-Firebox?

Moin Leute,

hat jemand bereits Erfahrungen mit der "Watchguard Firebox X20e" gemacht?

Wir haben jeweils ca. 25 User an zwei Standorten, die über eine VPN verbunden werden sollen.
Zur Zeit ist es nicht notwendig, dass sich z.B. zusätzliche Außendienstler einwählen können sollen.

Habe von einem Händler folgendes Angebot vorliegen:

UTM-Firewall: VPN / Antivirus / Antispam Watchguard Firebox X20e UTM Bundle
inkl. 1 Jahr LiveSecurity und Antivirus, Antispam
für rund 650€

Kennt jemand die Firewall/Antivirus/Antispam-Software?
Ist diese Zuverlässig/Ausreichend?
Wie ist die Firebox zu administrieren?
...?

Gibt es hier besondere Punkte, die für oder gegen die Firebox sprechen?

Danke für alle Tipps,


Gruß
CeMeNt

Content-ID: 59169

Url: https://administrator.de/contentid/59169

Ausgedruckt am: 05.11.2024 um 12:11 Uhr

Hajoe
Hajoe 18.05.2007 um 08:50:12 Uhr
Goto Top
Ich habe das Produkt nicht persönlich gestestet, es hat aber einen ganz guten Ruf. Alle diese Lösungen funktionieren technisch mehr oder weniger gleich und unterscheiden sich nur hinsichtlich Bedienerfreundlichkeit, Konfigurationsmöglichkeiten usw. Ich verwende ICop, das ist umsonst, man muss es aber selber zusammenbasteln. Also Du solltest vor allem auf Bedienerfreundlichkeit bzw. den Service Wert legen, wenn Du selber nicht so den Durchblick oder die Zeit hast. Im Bereich "Sicherheit" nehmen die sich gegenseitig nix, auch wenn die Werbung anderes behauptet. Das ist so wie mit den Türschlössern. Ob der Stahl des einen Türschlosses jetzt supergehärtet oder nur einfach gehärtet ist, ist eigentlich wurscht, wenn nebenan das Klofenster offensteht...
Rafiki
Rafiki 18.05.2007 um 13:47:44 Uhr
Goto Top
Vor zwei Jahren, also 2005, habe ich persönlich folgende Erfahrungen mit einer Firebox II gemacht:
Bei den Regeln war es nicht offensichtlich in welcher Reihenfolge diese Abgearbeitet werden.
Beispiel: DNS von trusted nach DMZ erlauben. DNS von trusted nach outside verbieten. Dem Exchange Server, der in trusted steht DNS ins Internet (outside) erlauben. Viel spaß damit. Probieren, Logdatei lesen, regeln neu anlegen....

Es gibt eine Windows Konfigurationssoftware. Mit jeder Major Version 5, 6, 7 musste eine bestimmte Java Version 1.3, 1.4_2 oder 1.5 installiert sein. Ganz doof wenn man dann eine zweite Box kauft und die von der alten Software auf die neue aktualisieren muss. Am besten verwendet man dafür einen sauberen jungfräulichen PC der noch kein Java hatte.

Wenn ich eine neue Regel anlege denke ich so: neue Regel, DNS, Paket filter, von meinem neuen Server, ins Internet.
geht nicht. In dem Dialogfeld neue Regel kann man keinen Alias anlegen. Also erst neuer Server hat Namen und IP. Es sind solche Kleinigkeiten die in der täglichen arbeit nerven.

Bei jeder Änderung der Regeln schlägt die Software vor die Konfiguration auch auf C: von deinem PC zu sichern. Eine wirklich sehr gute Eigenschaft!
Wenn etwas im März noch funktioniert hat, jetzt 6 Wochen später und 10 Änderungen gemacht, Vergleiche mal die alte Konfiguration mit der aktuellen. Man kann sich beide auf dem Bildschirm nebeneinander ansehen, aber die Watchguard Software kann nicht vergleichen.

Mit der Hotline hier in Deutschland hatte ich mehrfach Probleme. Das kann auch persönliches Pech gewesen sein. Immer wieder musste ich lange auf den Rückruf warten. "Sie werden gemäß der vereinbarten Service Level erst morgen bis spätestens 10:45 zurückgerufen...." Dann sagte der Techniker am nächsten Tag nur: „Schicken sie mir mal die Logdatei, ich melde mich dann wieder“. Ruf doch mal an und prüfe wie nett oder Kompetent die Leute sind.

Das i-Tüpfelchen an Frechheit war dann die .V Class: Die Konfigurationsdatei ist fest an die Seriennummer der Box gebunden. Wenn die Firewall kaputt gehen sollte, kann man diese Konfigdatei nicht in die Ersatzhardware laden. Man muss einen Export und Import durchführen, der abbricht wenn man z.B. Umlaute verwendet hat. Also durfte ich nirgends Überwachung, Domäne oder ähnliches in den Kommentaren verwenden.

Die benötigten Lizenzen z.B. für 3DES oder VPN gehören zu der Hardware und werden für diese Seriennummer ausgestellt. Wenn die Hardware getauscht werden muss, dann muss man ein Formular bei Watchugard ausfüllen und bekommt dann einige Zeit später die neuen Lizenz Dateien. Wenn man darauf wartet sind auch 8h schon sehr lange.

Es muss ein gültiger Wartungsvertrag vorliegen damit du die aktuelle Software laden darfst. Das gilt auch für Hotfixes, die z.B. Sicherheitsprobleme beheben. Diese Kosten müssen mit eingeplant werden.

So genug gemeckert, ich hoffe das Watchguard einige dieser Probleme mittlerweile behoben hat. Am besten mit deinem Händler darüber reden und auf jeden Fall eine Teststellung vereinbaren. Euer Händler hat bestimmt einige Watchguard Firewalls die man auch mal für 2 Wochen ausleihen kann. Wenn das nicht möglich ist prüfe ob er wirklich ein Watchguard Partner ist.

Gruß Rafiki
CeMeNt
CeMeNt 21.05.2007 um 08:18:01 Uhr
Goto Top
Hallo Rafki und Hajoe,

zunächst mal danke für Eure Kommentare, obwohl Ihr beide ja etwas unterschiedlicher Meinung seid. Aber wenn man selbst damit gearbeitet hat, sieht man natürlich auch viele Kleinigkeiten (und größere Bugs natürlich erst recht...)

Wir sind dabei, unsere Server und Router auszutauschen. Dabei ist in jedem Fall ein Händler mit im Boot. Er wird uns auch bei der Einrichtung des Systems behilflich sein.
Ob er allerdings selbst schon mal mit der Firebox gearbeitet hat, weiß ich nicht.
Er hat halt (auf meine Frage) nach einem günstigen Angebot gesucht, und mir dann die Firebox vorgeschlagen.

@rafki:
Was war denn letztendlich der Grund, dass Du jetzt nicht mehr mit der Firebox arbeitest?
Oder was verwendest Du denn jetzt stattdessen?
Ich hatte mich auch schon mal über das Security-Gateway von Collax informiert. Die benötigen aber Kaspersky als Anti-Virus Software. Und alleine die Kaspersky-Lizenz für ein Jahr ist teurer als das gesamte Watchguard-Paket...


Gruß CeMeNt
Rafiki
Rafiki 23.05.2007 um 18:25:06 Uhr
Goto Top
@rafki:
Was war denn letztendlich der Grund, dass Du jetzt nicht mehr mit der Firebox arbeitest?
Oder was verwendest Du denn jetzt stattdessen?

Die Firebox war bei den Anforderungen an VPN Funktion und Bandbreite nicht mehr gewachsen. Ein Umstieg auf die .V Class viel ann leider aus.

Gegenwärtig würde ich zu einem zwei Stuffen Model raten. Eine (einfache) Firewall, z.B. im DSL Router, und dahinter eine Proxy lösung mit Antivirus filter.
Beispiel das Internet Gateway von TrendMicro. Das sprengt deinen Rahmen von EUR 600 deutlich.

Bei vielen AntiVirus Anbietern gibt es relativ günstige bundel Angebote für Desktop, Server, Emails und Proxy. Gegenüber den Einzellizenzen kann man durchaus Geld sparen.
Wenn ich jetzt noch mal T.M. erwähne nagt uns der fleissige Bieber diesen Thread wegen Werbung ab. =face-smile

Gruß Rafiki