Hat jemand Erfahrungen mit Watchguard-Firebox?
Moin Leute,
hat jemand bereits Erfahrungen mit der "Watchguard Firebox X20e" gemacht?
Wir haben jeweils ca. 25 User an zwei Standorten, die über eine VPN verbunden werden sollen.
Zur Zeit ist es nicht notwendig, dass sich z.B. zusätzliche Außendienstler einwählen können sollen.
Habe von einem Händler folgendes Angebot vorliegen:
UTM-Firewall: VPN / Antivirus / Antispam Watchguard Firebox X20e UTM Bundle
inkl. 1 Jahr LiveSecurity und Antivirus, Antispam
für rund 650€
Kennt jemand die Firewall/Antivirus/Antispam-Software?
Ist diese Zuverlässig/Ausreichend?
Wie ist die Firebox zu administrieren?
...?
Gibt es hier besondere Punkte, die für oder gegen die Firebox sprechen?
Danke für alle Tipps,
Gruß
CeMeNt
hat jemand bereits Erfahrungen mit der "Watchguard Firebox X20e" gemacht?
Wir haben jeweils ca. 25 User an zwei Standorten, die über eine VPN verbunden werden sollen.
Zur Zeit ist es nicht notwendig, dass sich z.B. zusätzliche Außendienstler einwählen können sollen.
Habe von einem Händler folgendes Angebot vorliegen:
UTM-Firewall: VPN / Antivirus / Antispam Watchguard Firebox X20e UTM Bundle
inkl. 1 Jahr LiveSecurity und Antivirus, Antispam
für rund 650€
Kennt jemand die Firewall/Antivirus/Antispam-Software?
Ist diese Zuverlässig/Ausreichend?
Wie ist die Firebox zu administrieren?
...?
Gibt es hier besondere Punkte, die für oder gegen die Firebox sprechen?
Danke für alle Tipps,
Gruß
CeMeNt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 59169
Url: https://administrator.de/contentid/59169
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Ich habe das Produkt nicht persönlich gestestet, es hat aber einen ganz guten Ruf. Alle diese Lösungen funktionieren technisch mehr oder weniger gleich und unterscheiden sich nur hinsichtlich Bedienerfreundlichkeit, Konfigurationsmöglichkeiten usw. Ich verwende ICop, das ist umsonst, man muss es aber selber zusammenbasteln. Also Du solltest vor allem auf Bedienerfreundlichkeit bzw. den Service Wert legen, wenn Du selber nicht so den Durchblick oder die Zeit hast. Im Bereich "Sicherheit" nehmen die sich gegenseitig nix, auch wenn die Werbung anderes behauptet. Das ist so wie mit den Türschlössern. Ob der Stahl des einen Türschlosses jetzt supergehärtet oder nur einfach gehärtet ist, ist eigentlich wurscht, wenn nebenan das Klofenster offensteht...
Vor zwei Jahren, also 2005, habe ich persönlich folgende Erfahrungen mit einer Firebox II gemacht:
Bei den Regeln war es nicht offensichtlich in welcher Reihenfolge diese Abgearbeitet werden.
Beispiel: DNS von trusted nach DMZ erlauben. DNS von trusted nach outside verbieten. Dem Exchange Server, der in trusted steht DNS ins Internet (outside) erlauben. Viel spaß damit. Probieren, Logdatei lesen, regeln neu anlegen....
Es gibt eine Windows Konfigurationssoftware. Mit jeder Major Version 5, 6, 7 musste eine bestimmte Java Version 1.3, 1.4_2 oder 1.5 installiert sein. Ganz doof wenn man dann eine zweite Box kauft und die von der alten Software auf die neue aktualisieren muss. Am besten verwendet man dafür einen sauberen jungfräulichen PC der noch kein Java hatte.
Wenn ich eine neue Regel anlege denke ich so: neue Regel, DNS, Paket filter, von meinem neuen Server, ins Internet.
geht nicht. In dem Dialogfeld neue Regel kann man keinen Alias anlegen. Also erst neuer Server hat Namen und IP. Es sind solche Kleinigkeiten die in der täglichen arbeit nerven.
Bei jeder Änderung der Regeln schlägt die Software vor die Konfiguration auch auf C: von deinem PC zu sichern. Eine wirklich sehr gute Eigenschaft!
Wenn etwas im März noch funktioniert hat, jetzt 6 Wochen später und 10 Änderungen gemacht, Vergleiche mal die alte Konfiguration mit der aktuellen. Man kann sich beide auf dem Bildschirm nebeneinander ansehen, aber die Watchguard Software kann nicht vergleichen.
Mit der Hotline hier in Deutschland hatte ich mehrfach Probleme. Das kann auch persönliches Pech gewesen sein. Immer wieder musste ich lange auf den Rückruf warten. "Sie werden gemäß der vereinbarten Service Level erst morgen bis spätestens 10:45 zurückgerufen...." Dann sagte der Techniker am nächsten Tag nur: „Schicken sie mir mal die Logdatei, ich melde mich dann wieder“. Ruf doch mal an und prüfe wie nett oder Kompetent die Leute sind.
Das i-Tüpfelchen an Frechheit war dann die .V Class: Die Konfigurationsdatei ist fest an die Seriennummer der Box gebunden. Wenn die Firewall kaputt gehen sollte, kann man diese Konfigdatei nicht in die Ersatzhardware laden. Man muss einen Export und Import durchführen, der abbricht wenn man z.B. Umlaute verwendet hat. Also durfte ich nirgends Überwachung, Domäne oder ähnliches in den Kommentaren verwenden.
Die benötigten Lizenzen z.B. für 3DES oder VPN gehören zu der Hardware und werden für diese Seriennummer ausgestellt. Wenn die Hardware getauscht werden muss, dann muss man ein Formular bei Watchugard ausfüllen und bekommt dann einige Zeit später die neuen Lizenz Dateien. Wenn man darauf wartet sind auch 8h schon sehr lange.
Es muss ein gültiger Wartungsvertrag vorliegen damit du die aktuelle Software laden darfst. Das gilt auch für Hotfixes, die z.B. Sicherheitsprobleme beheben. Diese Kosten müssen mit eingeplant werden.
So genug gemeckert, ich hoffe das Watchguard einige dieser Probleme mittlerweile behoben hat. Am besten mit deinem Händler darüber reden und auf jeden Fall eine Teststellung vereinbaren. Euer Händler hat bestimmt einige Watchguard Firewalls die man auch mal für 2 Wochen ausleihen kann. Wenn das nicht möglich ist prüfe ob er wirklich ein Watchguard Partner ist.
Gruß Rafiki
Bei den Regeln war es nicht offensichtlich in welcher Reihenfolge diese Abgearbeitet werden.
Beispiel: DNS von trusted nach DMZ erlauben. DNS von trusted nach outside verbieten. Dem Exchange Server, der in trusted steht DNS ins Internet (outside) erlauben. Viel spaß damit. Probieren, Logdatei lesen, regeln neu anlegen....
Es gibt eine Windows Konfigurationssoftware. Mit jeder Major Version 5, 6, 7 musste eine bestimmte Java Version 1.3, 1.4_2 oder 1.5 installiert sein. Ganz doof wenn man dann eine zweite Box kauft und die von der alten Software auf die neue aktualisieren muss. Am besten verwendet man dafür einen sauberen jungfräulichen PC der noch kein Java hatte.
Wenn ich eine neue Regel anlege denke ich so: neue Regel, DNS, Paket filter, von meinem neuen Server, ins Internet.
geht nicht. In dem Dialogfeld neue Regel kann man keinen Alias anlegen. Also erst neuer Server hat Namen und IP. Es sind solche Kleinigkeiten die in der täglichen arbeit nerven.
Bei jeder Änderung der Regeln schlägt die Software vor die Konfiguration auch auf C: von deinem PC zu sichern. Eine wirklich sehr gute Eigenschaft!
Wenn etwas im März noch funktioniert hat, jetzt 6 Wochen später und 10 Änderungen gemacht, Vergleiche mal die alte Konfiguration mit der aktuellen. Man kann sich beide auf dem Bildschirm nebeneinander ansehen, aber die Watchguard Software kann nicht vergleichen.
Mit der Hotline hier in Deutschland hatte ich mehrfach Probleme. Das kann auch persönliches Pech gewesen sein. Immer wieder musste ich lange auf den Rückruf warten. "Sie werden gemäß der vereinbarten Service Level erst morgen bis spätestens 10:45 zurückgerufen...." Dann sagte der Techniker am nächsten Tag nur: „Schicken sie mir mal die Logdatei, ich melde mich dann wieder“. Ruf doch mal an und prüfe wie nett oder Kompetent die Leute sind.
Das i-Tüpfelchen an Frechheit war dann die .V Class: Die Konfigurationsdatei ist fest an die Seriennummer der Box gebunden. Wenn die Firewall kaputt gehen sollte, kann man diese Konfigdatei nicht in die Ersatzhardware laden. Man muss einen Export und Import durchführen, der abbricht wenn man z.B. Umlaute verwendet hat. Also durfte ich nirgends Überwachung, Domäne oder ähnliches in den Kommentaren verwenden.
Die benötigten Lizenzen z.B. für 3DES oder VPN gehören zu der Hardware und werden für diese Seriennummer ausgestellt. Wenn die Hardware getauscht werden muss, dann muss man ein Formular bei Watchugard ausfüllen und bekommt dann einige Zeit später die neuen Lizenz Dateien. Wenn man darauf wartet sind auch 8h schon sehr lange.
Es muss ein gültiger Wartungsvertrag vorliegen damit du die aktuelle Software laden darfst. Das gilt auch für Hotfixes, die z.B. Sicherheitsprobleme beheben. Diese Kosten müssen mit eingeplant werden.
So genug gemeckert, ich hoffe das Watchguard einige dieser Probleme mittlerweile behoben hat. Am besten mit deinem Händler darüber reden und auf jeden Fall eine Teststellung vereinbaren. Euer Händler hat bestimmt einige Watchguard Firewalls die man auch mal für 2 Wochen ausleihen kann. Wenn das nicht möglich ist prüfe ob er wirklich ein Watchguard Partner ist.
Gruß Rafiki
@rafki:
Was war denn letztendlich der Grund, dass Du jetzt nicht mehr mit der Firebox arbeitest?
Oder was verwendest Du denn jetzt stattdessen?
Was war denn letztendlich der Grund, dass Du jetzt nicht mehr mit der Firebox arbeitest?
Oder was verwendest Du denn jetzt stattdessen?
Die Firebox war bei den Anforderungen an VPN Funktion und Bandbreite nicht mehr gewachsen. Ein Umstieg auf die .V Class viel ann leider aus.
Gegenwärtig würde ich zu einem zwei Stuffen Model raten. Eine (einfache) Firewall, z.B. im DSL Router, und dahinter eine Proxy lösung mit Antivirus filter.
Beispiel das Internet Gateway von TrendMicro. Das sprengt deinen Rahmen von EUR 600 deutlich.
Bei vielen AntiVirus Anbietern gibt es relativ günstige bundel Angebote für Desktop, Server, Emails und Proxy. Gegenüber den Einzellizenzen kann man durchaus Geld sparen.
Wenn ich jetzt noch mal T.M. erwähne nagt uns der fleissige Bieber diesen Thread wegen Werbung ab. =
Gruß Rafiki