Mittlere Firewall gesucht - Strategie - Produktauswahl
Ich suche für ein mittleres Unternehmen eine Hardware-Firewall eines renommierten Herstellers, die den Traffic zwischen LAN (ein Class C-Netz mit drei Servern und 25 Clients) und vier Internet-WAN-Anschlüssen (2*ADSL2+, 1*SDSL, 1*KA-Sat) überwacht und regelt. Monatliches Transfervolumen über alle Leitungen ca. 100 GB+ in beide Richtungen. vpn, rsync, vPBX (VoIP), ftp, w3, usw. Halt das volle Programm eines modernen Unternehmens. Budget 3.-4.000 EUR.
Die vier WAN-Kanäle haben zusammen 14 Mbit/s upload Bandbreite und 50 Mbit/s in der download Richtung. Besondere Anforderungen an Bandbreite oder Nutzervolumen habe ich damit nicht. Da reichte ein Minigerät auch aus. Mir geht es jedoch um die leichte Konfigurierbarkeit auch komplizierter Zusammenhänge und die regelmäßige Bereitstellung von Patches durch ein global agierendes Unternehmen. Damit möchte ich sicher stellen, dass nach bekannt werden von Problemen in vernünftigen Zeiten Patches bereitgestellt werden. Ich erwarte damit auch eine längere, mögliche Nutzungsdauer und Upgradepfade auf aktuelle Geräte bei späterem Ausfall des Geräts.
Ach ja, ich möchte unbedingt ein Gerät mit mindestens 4*RJ45 Anschlüssen haben, damit ich keinen weiteren Switch auf der WAN-Seite einsetzen muss. 19" Rack-Einbau Pflicht.
Gefunden habe ich die folgenden Geräte. Vielleicht fällt Euch ja noch etwas dazu ein:
Cisco ASA 5510 (nur 5 Ports) 3k€ [für mich sehr gute Reputation]
Check Point 4200 (nur 4 Ports) 5k$ [von CP habe ich kleinen Router, Bedienung gefällt mir nicht so wirklich]
Sonicwall NSA 2400 2.5k$ [für mich sehr gute Reputation, Vertrieb über DELL, hat Vorteile]
Gateprotect GPA600 3k$ [klingt gut, aber vergleichsweise kleines, deutsches Unternehmen]
HP - [eigentlich meine erste Wahl (habe tollen Switch), doch die Preise beginnen anscheinend über 10k$]
Juniper IDP 75 6k$ (sehr teuer und nur 2 Ports) [zusätzlicher Switch erforderlich]
Barracuda X300 2,3k$ [klingt sehr gut vom Preis-/Leistungsverhältnis]
Fortinet Fortigate 100D 1.6k$ [ist mir fast zu billig - hält der Laden bei seinen kleinen Geräten, was er verspricht?]
Bislang rausgefallen sind für mich Geräte der folgenden Hersteller, weil ich die entweder als Anbieter von semiprofessionellen Geräten kenne oder nie von ihnen gehört habe oder sie nicht mag. Die haben zwar zum Teil auch Geräte zu 2-3k€, doch ich traue denen rein aus dem Bauch heraus den Job nicht zu.
Astaro (mag Sophos nicht), Huawei, Draytek, Netgear, Zyxel, D-Link, TP-Link
Jede Antwort ist willkommen.
Die vier WAN-Kanäle haben zusammen 14 Mbit/s upload Bandbreite und 50 Mbit/s in der download Richtung. Besondere Anforderungen an Bandbreite oder Nutzervolumen habe ich damit nicht. Da reichte ein Minigerät auch aus. Mir geht es jedoch um die leichte Konfigurierbarkeit auch komplizierter Zusammenhänge und die regelmäßige Bereitstellung von Patches durch ein global agierendes Unternehmen. Damit möchte ich sicher stellen, dass nach bekannt werden von Problemen in vernünftigen Zeiten Patches bereitgestellt werden. Ich erwarte damit auch eine längere, mögliche Nutzungsdauer und Upgradepfade auf aktuelle Geräte bei späterem Ausfall des Geräts.
Ach ja, ich möchte unbedingt ein Gerät mit mindestens 4*RJ45 Anschlüssen haben, damit ich keinen weiteren Switch auf der WAN-Seite einsetzen muss. 19" Rack-Einbau Pflicht.
Gefunden habe ich die folgenden Geräte. Vielleicht fällt Euch ja noch etwas dazu ein:
Cisco ASA 5510 (nur 5 Ports) 3k€ [für mich sehr gute Reputation]
Check Point 4200 (nur 4 Ports) 5k$ [von CP habe ich kleinen Router, Bedienung gefällt mir nicht so wirklich]
Sonicwall NSA 2400 2.5k$ [für mich sehr gute Reputation, Vertrieb über DELL, hat Vorteile]
Gateprotect GPA600 3k$ [klingt gut, aber vergleichsweise kleines, deutsches Unternehmen]
HP - [eigentlich meine erste Wahl (habe tollen Switch), doch die Preise beginnen anscheinend über 10k$]
Juniper IDP 75 6k$ (sehr teuer und nur 2 Ports) [zusätzlicher Switch erforderlich]
Barracuda X300 2,3k$ [klingt sehr gut vom Preis-/Leistungsverhältnis]
Fortinet Fortigate 100D 1.6k$ [ist mir fast zu billig - hält der Laden bei seinen kleinen Geräten, was er verspricht?]
Bislang rausgefallen sind für mich Geräte der folgenden Hersteller, weil ich die entweder als Anbieter von semiprofessionellen Geräten kenne oder nie von ihnen gehört habe oder sie nicht mag. Die haben zwar zum Teil auch Geräte zu 2-3k€, doch ich traue denen rein aus dem Bauch heraus den Job nicht zu.
Astaro (mag Sophos nicht), Huawei, Draytek, Netgear, Zyxel, D-Link, TP-Link
Jede Antwort ist willkommen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205802
Url: https://administrator.de/forum/mittlere-firewall-gesucht-strategie-produktauswahl-205802.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
kann es sein, dass die Preise ohne Support-Subscription sind?
Ich würde ganz klar Barracuda nehmen. Finger weg von Sonicwall. Der Support ist in letzten Monaten nicht der Hit.
Grüße,
Dani
kann es sein, dass die Preise ohne Support-Subscription sind?
Ich würde ganz klar Barracuda nehmen. Finger weg von Sonicwall. Der Support ist in letzten Monaten nicht der Hit.
Mir geht es jedoch um die leichte Konfigurierbarkeit auch komplizierter Zusammenhänge und die regelmäßige Bereitstellung von Patches durch ein global agierendes Unternehmen
Das ist relativ.... da wird wahrscheinlich jeder Mensch unterschiedlich definieren.Grüße,
Dani
Hallo,
also ich hab die Cisco ASA im Einsatz und macht mir keine Probleme.
Dann Läuft bei ner Schwesterfirma noch ne Gateprotect und da muss ich sagen, das Teil ist wirklich Idiotensicher zum einrichten. Support soll recht gut sein nach deren Aussagen.
Persönlich ist mir aber die ASA etwas lieber, wobei ich da jetzt nicht wirklich groß gründe dafür nennen könnte.
also ich hab die Cisco ASA im Einsatz und macht mir keine Probleme.
Dann Läuft bei ner Schwesterfirma noch ne Gateprotect und da muss ich sagen, das Teil ist wirklich Idiotensicher zum einrichten. Support soll recht gut sein nach deren Aussagen.
Persönlich ist mir aber die ASA etwas lieber, wobei ich da jetzt nicht wirklich groß gründe dafür nennen könnte.
Also ich bin ein Fan der Fortigate und habe selbst mittlerweile drei davon im Produktiveinsatz, zwei davon im Active-Passive-Cluster.
Ich weiß ja nicht, in wie weit die Internetverbindungen welche Aufgaben übernehmen, aber bei der Fortigate ist ein MultiWAN-Betrieb nur über die vDom-Funktion ordentlich möglich, es gibt zwar Policy Routes, diese sind aber bei doch schon limitiert (bei FortiOS 4.0MR3 waren nur 16 Policy Routen möglich pro vDom). Mit den vDoms ist es aber ganz angenehm, die FortiGate kümmert mit drei vDoms um einen ADSL-Anschluss und zwei verschiedene IP-Adressen eines SDSL-Anschlusses.
Mit FortiOS 5.0 sind die Limitierungen gelockert worden. Das hab ich auf dem Active-Passive-Cluster laufen und da kümmern sich die die beiden Kisten um 1100 Subnetze.
Ich weiß ja nicht, in wie weit die Internetverbindungen welche Aufgaben übernehmen, aber bei der Fortigate ist ein MultiWAN-Betrieb nur über die vDom-Funktion ordentlich möglich, es gibt zwar Policy Routes, diese sind aber bei doch schon limitiert (bei FortiOS 4.0MR3 waren nur 16 Policy Routen möglich pro vDom). Mit den vDoms ist es aber ganz angenehm, die FortiGate kümmert mit drei vDoms um einen ADSL-Anschluss und zwei verschiedene IP-Adressen eines SDSL-Anschlusses.
Mit FortiOS 5.0 sind die Limitierungen gelockert worden. Das hab ich auf dem Active-Passive-Cluster laufen und da kümmern sich die die beiden Kisten um 1100 Subnetze.
Hallo,
schreib mal bitte dazu wie viele Ports Du überhaupt brauchst!
Klar 4 WAN Ports sollten es schon sein, aber wie viele LAN Port benötigst Du denn?
Einen Port zum LAN hin und gut ist es oder zwei Ports, einen zum LAn und einen in die DMZ?
Sollte man bei dem Preis eventuell auch schon einen SFP Port mit im Auge haben, falls FTTH/B mal verfügbar
ist bei Euch und man dann nicht schon wieder anfängt einen "Switch" davor zu schalten und/oder eine neue
Firewall suchen geht? Ist ja auch nur so eine Idee von mir, etwas zukunftsorientierter an die Sache heran zugehen, denn ein so ein Zugang mit 100 oder 200 MBit/s wäre dann auch schnell mit erledigt wenn es denn einmal dazu kommen sollte.
Spielt Hochverfügbarkeit eine Rolle bei der ganzen Sache? (HA / High availability)
Gruß
Dobby
schreib mal bitte dazu wie viele Ports Du überhaupt brauchst!
Klar 4 WAN Ports sollten es schon sein, aber wie viele LAN Port benötigst Du denn?
Einen Port zum LAN hin und gut ist es oder zwei Ports, einen zum LAn und einen in die DMZ?
Sollte man bei dem Preis eventuell auch schon einen SFP Port mit im Auge haben, falls FTTH/B mal verfügbar
ist bei Euch und man dann nicht schon wieder anfängt einen "Switch" davor zu schalten und/oder eine neue
Firewall suchen geht? Ist ja auch nur so eine Idee von mir, etwas zukunftsorientierter an die Sache heran zugehen, denn ein so ein Zugang mit 100 oder 200 MBit/s wäre dann auch schnell mit erledigt wenn es denn einmal dazu kommen sollte.
Spielt Hochverfügbarkeit eine Rolle bei der ganzen Sache? (HA / High availability)
Gruß
Dobby
Hallo,
dann werfe ich hier noch Watchguard rein.
Die sollten alles abdecken was du brauchst.
Den "Rest" hast du ja schon selber gefunden
Sonst frage doch mal deinen Händler um ein Testsystem, weil die kochen auch alle nur mit Wasser
PS: Ach ja, Clavister gibt es auch noch, kenn ich aber nur vom Namen her.
VG
Deepsys
dann werfe ich hier noch Watchguard rein.
Die sollten alles abdecken was du brauchst.
Den "Rest" hast du ja schon selber gefunden
Sonst frage doch mal deinen Händler um ein Testsystem, weil die kochen auch alle nur mit Wasser
PS: Ach ja, Clavister gibt es auch noch, kenn ich aber nur vom Namen her.
VG
Deepsys
Hi,
ich kenne nicht alle Geräte aus Deiner Vorauswahl, aber weshalb da eine Juniper IDP 75 auftaucht, ist mir ehrlich gesagt schleierhaft. Eine reine IDP-Appliance passt ja nun wirklich auf den ersten Blick nicht zum Anforderungskatalog!
Wir hatten früher Cisco PIX - später auch die ASA. Diese wurden alle abgelöst - je nach zu erfüllender Anforderungsmatrix - entweder durch Zywall USG oder Sonicwall NSA. Von Sonicwall haben wir zudem die SRA-Serie für SSL-VPN im Einsatz. Bei einem aktuellen Projekt hatte ich mich für einen HA-Cluster aus 2x Fortigate 300C entschieden.
Die Cisco-Firewalls können meines Wissens weder Policy Based Routing noch MultiLink-Loadbalancing (zumindest war es damals so - das war einer der Hauptgründe für deren Ablösung) und fallen deshalb ebenfalls durch Dein Anforderungsraster.
Fortigate kann das zwar - ist diesbezüglich jedoch nicht so prickelnd. Dazu wurde ja bereits etwas geschrieben. Ich würde zudem dringend von Fortigate abraten, da meine Erfahrungen mit dem o.g. Cluster leider erschreckend schlecht sind! Nicht nur, dass die 300er einen Hardwaredesignfehler hat, was man totzuschweigt und versucht, das Ding mit spezieller Firmwareanpassungen irgendwie stabil zu bekommen, statt die Geräte auszutauschen. Die Firmware ist regelmäßig dermaßen buggy, dass man einfach nur den Kopf schütteln kann!
Das können Sonicwall und sogar ZyXEL besser (bugfrei sind die natürlich auch nicht, aber kein Vergleich zu dem, was man bei Fortinet erleben muss!).
Sonicwall gefällt besonders im Clustermodus mit stateful HA. Außerdem kann man hier auch SSL-Traffic aufbrechen bzw. terminieren und mit CF, ADP, IDP, AV usw. filtern. Das geht mit dem USGs von ZyXEL derzeit leider nicht.
Dafür ist bei ZyXEL der Multi-WAN-Support deutlich besser als bei Sonicwall. Außerdem sind Firmwareupdates und Support anders als bei Sonicwall kostenlos. Je nachdem, wie Du Deine 4 WANs konkret ansteuern willst, würde ich deshalb eher zu Zyxel (z.B. zur bald erscheinenden Zywall310) raten, aber diesen Hersteller hast Du ja sinniger Weise bereits ausgeschlossen, weil er (auch) Consumergeräte vertreibt.
Gruß
sk
ich kenne nicht alle Geräte aus Deiner Vorauswahl, aber weshalb da eine Juniper IDP 75 auftaucht, ist mir ehrlich gesagt schleierhaft. Eine reine IDP-Appliance passt ja nun wirklich auf den ersten Blick nicht zum Anforderungskatalog!
Wir hatten früher Cisco PIX - später auch die ASA. Diese wurden alle abgelöst - je nach zu erfüllender Anforderungsmatrix - entweder durch Zywall USG oder Sonicwall NSA. Von Sonicwall haben wir zudem die SRA-Serie für SSL-VPN im Einsatz. Bei einem aktuellen Projekt hatte ich mich für einen HA-Cluster aus 2x Fortigate 300C entschieden.
Die Cisco-Firewalls können meines Wissens weder Policy Based Routing noch MultiLink-Loadbalancing (zumindest war es damals so - das war einer der Hauptgründe für deren Ablösung) und fallen deshalb ebenfalls durch Dein Anforderungsraster.
Fortigate kann das zwar - ist diesbezüglich jedoch nicht so prickelnd. Dazu wurde ja bereits etwas geschrieben. Ich würde zudem dringend von Fortigate abraten, da meine Erfahrungen mit dem o.g. Cluster leider erschreckend schlecht sind! Nicht nur, dass die 300er einen Hardwaredesignfehler hat, was man totzuschweigt und versucht, das Ding mit spezieller Firmwareanpassungen irgendwie stabil zu bekommen, statt die Geräte auszutauschen. Die Firmware ist regelmäßig dermaßen buggy, dass man einfach nur den Kopf schütteln kann!
Das können Sonicwall und sogar ZyXEL besser (bugfrei sind die natürlich auch nicht, aber kein Vergleich zu dem, was man bei Fortinet erleben muss!).
Sonicwall gefällt besonders im Clustermodus mit stateful HA. Außerdem kann man hier auch SSL-Traffic aufbrechen bzw. terminieren und mit CF, ADP, IDP, AV usw. filtern. Das geht mit dem USGs von ZyXEL derzeit leider nicht.
Dafür ist bei ZyXEL der Multi-WAN-Support deutlich besser als bei Sonicwall. Außerdem sind Firmwareupdates und Support anders als bei Sonicwall kostenlos. Je nachdem, wie Du Deine 4 WANs konkret ansteuern willst, würde ich deshalb eher zu Zyxel (z.B. zur bald erscheinenden Zywall310) raten, aber diesen Hersteller hast Du ja sinniger Weise bereits ausgeschlossen, weil er (auch) Consumergeräte vertreibt.
Gruß
sk
wir dermaßen auf dem Land liegen, dass selbst VDSL erst 2015/2016 zu erwarten ist, wenn die Breitbandförderung in Bayern bis zu uns vorgedrungen ist.
Habe ich so nicht raus lesen können sorry.Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?
Würde ich nicht machen wollen, sicherlich gibt es da Vor- und Nachteile nur trauen würde ich demganzen nicht so, ist halt nur meine Meinung.
Außer der pfSense würde ich da auch keinem so richtig über den Weg trauen wollen, aber dann kommt
auch immer noch nachstehend die versicherungstechnische Frage der Zertifizierung auf.
Dann lieber eine ASA-5520 für 3500 - 3900 € und kompatibel sein zu dem was Du schon verbaut hast.
Gruß
Dobby
Zitat von @108012:
Dann lieber eine ASA-5520 für 3500 - 3900 € und kompatibel sein zu dem was Du schon verbaut hast.
Dann lieber eine ASA-5520 für 3500 - 3900 € und kompatibel sein zu dem was Du schon verbaut hast.
Also ein Gerät kaufen, welches seine Anforderungen _nicht_ erfüllt, um Kompatibilität mit vorhandenem Equipment sicherzustellen, welches uns bislang völlig unbekannt ist, weil es noch mit keiner Silbe erwähnt wurde? Also über manche Empfehlung kann man nur den Kopf schütteln...
Zitat von @horst98:
@..sk..
Die Juniper habe ich ganz zum Schluss als Schnellschuss aufgenommen, weil ich einfach diese Marke nicht weglassen wollte. Ich habe
lange nach etwas von Juniper gesucht - bin aber nun gar nicht fündig geworden. Da kann ich nur sagen: erwischt
@..sk..
Die Juniper habe ich ganz zum Schluss als Schnellschuss aufgenommen, weil ich einfach diese Marke nicht weglassen wollte. Ich habe
lange nach etwas von Juniper gesucht - bin aber nun gar nicht fündig geworden. Da kann ich nur sagen: erwischt
Von Juniper gibt es die SSG- und die SRX-Serie. Letztere basiert auf Junipers "JunOS" - erstere stammt aus der Übernahme von Netscreen und läuft unter ScreenOS. Die SSG-Serie sollte nach Willen von Juniper schon lange zu Gunsten der SRX-Serie vom Markt verschwunden sein, aber die Netscreen-Fangemeinde weigert sich bislang erfolgreich dagegen, zur SRX zu migrieren. Ich hatte mal eine SRX110H zur Probe gekauft und war ebenfalls alles andere als begeistert.
Zitat von @horst98:
Ich ging in meiner 'optimistischen Verblendung' davon aus, dass man die Ports frei konfigurieren
könnte. Ist wohl hardwaretechnisch oft nicht möglich.
Ich ging in meiner 'optimistischen Verblendung' davon aus, dass man die Ports frei konfigurieren
könnte. Ist wohl hardwaretechnisch oft nicht möglich.
Nicht hardwaretechnisch, sondern aufgrund Softwarerestriktion. Die meisten Hersteller lassen es nur bei größeren Modellen zu und bei kleineren gibt es nur vordefinierte WAN-Interfaces. Vorgeschobener Grund ist die Vereinfachung der Konfiguration für SMB-Kunden - tatsächlicher Grund ist der Schutz des Absatzes der größeren Modelle.
Zitat von @horst98:
Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten > PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?
Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten > PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?
Wenn Du pfSense, ipCop usw. meinst: die sind nicht grundsätzlich schlechter als die rein kommerziellen Systeme - zumal auch viele rein kommerzielle Anbieter ihr System auch als reine Softwarevariante verkaufen. Die Frage ist halt immer, wie verlässlich der Support dahinter ist (idR kann man auch bei den Opensource-Projekten kommerziellen Support erhalten) und inwieweit die Weiterentwicklung gewährleistet ist. Außerdem hat man halt keinen großen Namen, wohinter man sich verstecken kann, wenn man aufgrund eigener Inkompetenz das System unsicher konfiguriert hat. Letzteres ist nämlich der entscheidende Punkt: Alle Firewallsysteme dürften im Großen und Ganzen ausreichend gehärtet sein - sicher konfigurieren muss sie jedoch der Admin! Und wenn ich da von Dir Termini wie "Durchleitungsregeln" lese und in Deinen Anforderungen keine Ausführungen bzgl. DMZ finde, schwant mir Schlimmes.
Gruß
sk
Guten Abend...
habe zwar den Namen Watchguard schon irgendwo im Beitrag gelesen...
aber die haben noch bis zum 30.06.2013 Red-Instead
2 Stück von XTM 515 oder 525 als HA-Cluster,
- sollte immernoch im Budget sein.
Wir setzen an den Standorten die XTM515 mit je 2 Wan-Leitung mit Failover.
Ab einer bestimmten Preisklasse ist glaube ich der Funktionsumfang bei den namhaften Herstellern vergleichbar.
Nach welchen Kriterien möchtest Du unterscheide und entscheiden ??
Schönen Abend
Tharen
habe zwar den Namen Watchguard schon irgendwo im Beitrag gelesen...
aber die haben noch bis zum 30.06.2013 Red-Instead
2 Stück von XTM 515 oder 525 als HA-Cluster,
- sollte immernoch im Budget sein.
Wir setzen an den Standorten die XTM515 mit je 2 Wan-Leitung mit Failover.
Ab einer bestimmten Preisklasse ist glaube ich der Funktionsumfang bei den namhaften Herstellern vergleichbar.
Nach welchen Kriterien möchtest Du unterscheide und entscheiden ??
Schönen Abend
Tharen