horst98
Goto Top

Mittlere Firewall gesucht - Strategie - Produktauswahl

Ich suche für ein mittleres Unternehmen eine Hardware-Firewall eines renommierten Herstellers, die den Traffic zwischen LAN (ein Class C-Netz mit drei Servern und 25 Clients) und vier Internet-WAN-Anschlüssen (2*ADSL2+, 1*SDSL, 1*KA-Sat) überwacht und regelt. Monatliches Transfervolumen über alle Leitungen ca. 100 GB+ in beide Richtungen. vpn, rsync, vPBX (VoIP), ftp, w3, usw. Halt das volle Programm eines modernen Unternehmens. Budget 3.-4.000 EUR.

Die vier WAN-Kanäle haben zusammen 14 Mbit/s upload Bandbreite und 50 Mbit/s in der download Richtung. Besondere Anforderungen an Bandbreite oder Nutzervolumen habe ich damit nicht. Da reichte ein Minigerät auch aus. Mir geht es jedoch um die leichte Konfigurierbarkeit auch komplizierter Zusammenhänge und die regelmäßige Bereitstellung von Patches durch ein global agierendes Unternehmen. Damit möchte ich sicher stellen, dass nach bekannt werden von Problemen in vernünftigen Zeiten Patches bereitgestellt werden. Ich erwarte damit auch eine längere, mögliche Nutzungsdauer und Upgradepfade auf aktuelle Geräte bei späterem Ausfall des Geräts.

Ach ja, ich möchte unbedingt ein Gerät mit mindestens 4*RJ45 Anschlüssen haben, damit ich keinen weiteren Switch auf der WAN-Seite einsetzen muss. 19" Rack-Einbau Pflicht.

Gefunden habe ich die folgenden Geräte. Vielleicht fällt Euch ja noch etwas dazu ein:

Cisco ASA 5510 (nur 5 Ports) 3k€ [für mich sehr gute Reputation]
Check Point 4200 (nur 4 Ports) 5k$ [von CP habe ich kleinen Router, Bedienung gefällt mir nicht so wirklich]
Sonicwall NSA 2400 2.5k$ [für mich sehr gute Reputation, Vertrieb über DELL, hat Vorteile]
Gateprotect GPA600 3k$ [klingt gut, aber vergleichsweise kleines, deutsches Unternehmen]
HP - [eigentlich meine erste Wahl (habe tollen Switch), doch die Preise beginnen anscheinend über 10k$]
Juniper IDP 75 6k$ (sehr teuer und nur 2 Ports) [zusätzlicher Switch erforderlich]
Barracuda X300 2,3k$ [klingt sehr gut vom Preis-/Leistungsverhältnis]
Fortinet Fortigate 100D 1.6k$ [ist mir fast zu billig - hält der Laden bei seinen kleinen Geräten, was er verspricht?]

Bislang rausgefallen sind für mich Geräte der folgenden Hersteller, weil ich die entweder als Anbieter von semiprofessionellen Geräten kenne oder nie von ihnen gehört habe oder sie nicht mag. Die haben zwar zum Teil auch Geräte zu 2-3k€, doch ich traue denen rein aus dem Bauch heraus den Job nicht zu.

Astaro (mag Sophos nicht), Huawei, Draytek, Netgear, Zyxel, D-Link, TP-Link

Jede Antwort ist willkommen.

Content-ID: 205802

Url: https://administrator.de/forum/mittlere-firewall-gesucht-strategie-produktauswahl-205802.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Dani
Dani 29.04.2013 aktualisiert um 12:03:12 Uhr
Goto Top
Moin,
kann es sein, dass die Preise ohne Support-Subscription sind?
Ich würde ganz klar Barracuda nehmen. Finger weg von Sonicwall. Der Support ist in letzten Monaten nicht der Hit.

Mir geht es jedoch um die leichte Konfigurierbarkeit auch komplizierter Zusammenhänge und die regelmäßige Bereitstellung von Patches durch ein global agierendes Unternehmen
Das ist relativ.... da wird wahrscheinlich jeder Mensch unterschiedlich definieren.


Grüße,
Dani
wiesi200
wiesi200 29.04.2013 um 12:17:09 Uhr
Goto Top
Hallo,

also ich hab die Cisco ASA im Einsatz und macht mir keine Probleme.

Dann Läuft bei ner Schwesterfirma noch ne Gateprotect und da muss ich sagen, das Teil ist wirklich Idiotensicher zum einrichten. Support soll recht gut sein nach deren Aussagen.

Persönlich ist mir aber die ASA etwas lieber, wobei ich da jetzt nicht wirklich groß gründe dafür nennen könnte.
tikayevent
tikayevent 29.04.2013 um 12:36:48 Uhr
Goto Top
Also ich bin ein Fan der Fortigate und habe selbst mittlerweile drei davon im Produktiveinsatz, zwei davon im Active-Passive-Cluster.

Ich weiß ja nicht, in wie weit die Internetverbindungen welche Aufgaben übernehmen, aber bei der Fortigate ist ein MultiWAN-Betrieb nur über die vDom-Funktion ordentlich möglich, es gibt zwar Policy Routes, diese sind aber bei doch schon limitiert (bei FortiOS 4.0MR3 waren nur 16 Policy Routen möglich pro vDom). Mit den vDoms ist es aber ganz angenehm, die FortiGate kümmert mit drei vDoms um einen ADSL-Anschluss und zwei verschiedene IP-Adressen eines SDSL-Anschlusses.

Mit FortiOS 5.0 sind die Limitierungen gelockert worden. Das hab ich auf dem Active-Passive-Cluster laufen und da kümmern sich die die beiden Kisten um 1100 Subnetze.
108012
108012 29.04.2013 um 12:37:13 Uhr
Goto Top
Hallo,

schreib mal bitte dazu wie viele Ports Du überhaupt brauchst!
Klar 4 WAN Ports sollten es schon sein, aber wie viele LAN Port benötigst Du denn?
Einen Port zum LAN hin und gut ist es oder zwei Ports, einen zum LAn und einen in die DMZ?

Sollte man bei dem Preis eventuell auch schon einen SFP Port mit im Auge haben, falls FTTH/B mal verfügbar
ist bei Euch und man dann nicht schon wieder anfängt einen "Switch" davor zu schalten und/oder eine neue
Firewall suchen geht? Ist ja auch nur so eine Idee von mir, etwas zukunftsorientierter an die Sache heran zugehen, denn ein so ein Zugang mit 100 oder 200 MBit/s wäre dann auch schnell mit erledigt wenn es denn einmal dazu kommen sollte.

Spielt Hochverfügbarkeit eine Rolle bei der ganzen Sache? (HA / High availability)

Gruß
Dobby
Deepsys
Deepsys 29.04.2013 um 12:41:45 Uhr
Goto Top
Hallo,

dann werfe ich hier noch Watchguard rein.
Die sollten alles abdecken was du brauchst.

Den "Rest" hast du ja schon selber gefunden face-wink

Sonst frage doch mal deinen Händler um ein Testsystem, weil die kochen auch alle nur mit Wasser face-wink

PS: Ach ja, Clavister gibt es auch noch, kenn ich aber nur vom Namen her.

VG
Deepsys
webstor
webstor 29.04.2013 um 14:36:53 Uhr
Goto Top
PaloAlto wäre top. Wir haben die PA-500 im Einsatz.
aqui
aqui 29.04.2013 um 20:13:10 Uhr
Goto Top
...und damit der Reigen noch voll wird kann man Astaro noch in den Ring schmeissen.
Aber wer HPs Switche als "toll" bezeichnet hat ja eh nicht so hohe Ansprüche....
sk
sk 30.04.2013 aktualisiert um 09:18:37 Uhr
Goto Top
Hi,

ich kenne nicht alle Geräte aus Deiner Vorauswahl, aber weshalb da eine Juniper IDP 75 auftaucht, ist mir ehrlich gesagt schleierhaft. Eine reine IDP-Appliance passt ja nun wirklich auf den ersten Blick nicht zum Anforderungskatalog!

Wir hatten früher Cisco PIX - später auch die ASA. Diese wurden alle abgelöst - je nach zu erfüllender Anforderungsmatrix - entweder durch Zywall USG oder Sonicwall NSA. Von Sonicwall haben wir zudem die SRA-Serie für SSL-VPN im Einsatz. Bei einem aktuellen Projekt hatte ich mich für einen HA-Cluster aus 2x Fortigate 300C entschieden.

Die Cisco-Firewalls können meines Wissens weder Policy Based Routing noch MultiLink-Loadbalancing (zumindest war es damals so - das war einer der Hauptgründe für deren Ablösung) und fallen deshalb ebenfalls durch Dein Anforderungsraster.

Fortigate kann das zwar - ist diesbezüglich jedoch nicht so prickelnd. Dazu wurde ja bereits etwas geschrieben. Ich würde zudem dringend von Fortigate abraten, da meine Erfahrungen mit dem o.g. Cluster leider erschreckend schlecht sind! Nicht nur, dass die 300er einen Hardwaredesignfehler hat, was man totzuschweigt und versucht, das Ding mit spezieller Firmwareanpassungen irgendwie stabil zu bekommen, statt die Geräte auszutauschen. Die Firmware ist regelmäßig dermaßen buggy, dass man einfach nur den Kopf schütteln kann!

Das können Sonicwall und sogar ZyXEL besser (bugfrei sind die natürlich auch nicht, aber kein Vergleich zu dem, was man bei Fortinet erleben muss!).
Sonicwall gefällt besonders im Clustermodus mit stateful HA. Außerdem kann man hier auch SSL-Traffic aufbrechen bzw. terminieren und mit CF, ADP, IDP, AV usw. filtern. Das geht mit dem USGs von ZyXEL derzeit leider nicht.
Dafür ist bei ZyXEL der Multi-WAN-Support deutlich besser als bei Sonicwall. Außerdem sind Firmwareupdates und Support anders als bei Sonicwall kostenlos. Je nachdem, wie Du Deine 4 WANs konkret ansteuern willst, würde ich deshalb eher zu Zyxel (z.B. zur bald erscheinenden Zywall310) raten, aber diesen Hersteller hast Du ja sinniger Weise bereits ausgeschlossen, weil er (auch) Consumergeräte vertreibt.

Gruß
sk
horst98
horst98 04.05.2013 um 13:53:28 Uhr
Goto Top
Herzlichen Dank für die vielen Antworten. Sie haben meinen Horizont stark erweitert. Leider komme ich erst jetzt zum Antworten, weil ich auf Schulung war.

Was habe ich aus den Antworten mitgenommen?

Jedes Gerät hat seine Vor- und Nachteile. Und Nachteile, die man selbst in der Vergangenheit aufgesammelt hat (z.B. ZyXEL), müssen heute nicht mehr gelten.

@..sk..
Die Juniper habe ich ganz zum Schluss als Schnellschuss aufgenommen, weil ich einfach diese Marke nicht weglassen wollte. Ich habe lange nach etwas von Juniper gesucht - bin aber nun gar nicht fündig geworden. Da kann ich nur sagen: erwischt face-wink

@d.o.b.b.y
Ich brauche vier WAN-Ports und einen LAN-Port. Wäre schön, wenn man auf beiden Seiten je einen als Reserve z.B. zum Test hätte. Ich ging in meiner 'optimistischen Verblendung' davon aus, dass man die Ports frei konfigurieren könnte. Ist wohl hardwaretechnisch oft nicht möglich.

SFP-Ports werden wohl in absehbarer Zeit nicht erforderlich, weil das Gebäude komplett in GbE erschlossen ist und wir dermaßen auf dem Land liegen, dass selbst VDSL erst 2015/2016 zu erwarten ist, wenn die Breitbandförderung in Bayern bis zu uns vorgedrungen ist. So lange möchte ich nicht vorinvestieren. FTTH ist höchst unwahrscheinlich. Umziehen wird die Firma vermutlich nicht.

@aqui
HP habe ich als 'toll' bezeichnet, weil alle HP-Teile bei mir bislang ohne jegliches Problem laufen. Das findet man selten. Hohe Anforderungen haben wir außer ein paar Trunks an den Switch auch noch nie gestellt.

@tikayevent
Herzlichen Dank auf den Hinweis bezüglich der vDoms. Das wird wohl der Knackpunkt werden. Wir haben einige Durchleitungsregeln für verschiedene Maschinen. An dieser Stelle ist jede Annehmlichkeit viel Arbeitszeit wert.

@Dani
Ja, die Preise sind alle ohne Support. Was ich bislang so an Support gesehen habe, hat mich nicht wirklich überzeugt. Updates der Firmware sind für mich wichtig. Support eher nicht. Spezielle Einstellungen lassen wir dokumentiert in Projekten laufen. Änderungen sind eher selten. Einfache Dinge können wir selbst.

Fazit
Wenn wir tatsächlich nicht wirklich starken Traffic technisch zusammen bringen können, kann es sich dann lohnen, kleinere Geräte wie z.B. eine Check Point UTM-1 Edge N Appliance zu verwenden? Oder sind die dermaßen auf Remote Access zugeschnürt, dann man da zu wenig im Rest konfigurieren kann? Ich will jetzt nicht zwingend auf Check Point raus. Fast alle Anbieter haben für die Remote-Lösungen solche Dinge im Angebot.

Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?
108012
108012 04.05.2013 um 23:07:27 Uhr
Goto Top
wir dermaßen auf dem Land liegen, dass selbst VDSL erst 2015/2016 zu erwarten ist, wenn die Breitbandförderung in Bayern bis zu uns vorgedrungen ist.
Habe ich so nicht raus lesen können sorry.

Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?
Würde ich nicht machen wollen, sicherlich gibt es da Vor- und Nachteile nur trauen würde ich dem
ganzen nicht so, ist halt nur meine Meinung.
Außer der pfSense würde ich da auch keinem so richtig über den Weg trauen wollen, aber dann kommt
auch immer noch nachstehend die versicherungstechnische Frage der Zertifizierung auf.

Dann lieber eine ASA-5520 für 3500 - 3900 € und kompatibel sein zu dem was Du schon verbaut hast.

Gruß
Dobby
sk
sk 08.05.2013 aktualisiert um 14:46:12 Uhr
Goto Top
Zitat von @108012:
Dann lieber eine ASA-5520 für 3500 - 3900 € und kompatibel sein zu dem was Du schon verbaut hast.


Also ein Gerät kaufen, welches seine Anforderungen _nicht_ erfüllt, um Kompatibilität mit vorhandenem Equipment sicherzustellen, welches uns bislang völlig unbekannt ist, weil es noch mit keiner Silbe erwähnt wurde? Also über manche Empfehlung kann man nur den Kopf schütteln...


Zitat von @horst98:
@..sk..
Die Juniper habe ich ganz zum Schluss als Schnellschuss aufgenommen, weil ich einfach diese Marke nicht weglassen wollte. Ich habe
lange nach etwas von Juniper gesucht - bin aber nun gar nicht fündig geworden. Da kann ich nur sagen: erwischt face-wink

Von Juniper gibt es die SSG- und die SRX-Serie. Letztere basiert auf Junipers "JunOS" - erstere stammt aus der Übernahme von Netscreen und läuft unter ScreenOS. Die SSG-Serie sollte nach Willen von Juniper schon lange zu Gunsten der SRX-Serie vom Markt verschwunden sein, aber die Netscreen-Fangemeinde weigert sich bislang erfolgreich dagegen, zur SRX zu migrieren. Ich hatte mal eine SRX110H zur Probe gekauft und war ebenfalls alles andere als begeistert.


Zitat von @horst98:
Ich ging in meiner 'optimistischen Verblendung' davon aus, dass man die Ports frei konfigurieren
könnte. Ist wohl hardwaretechnisch oft nicht möglich.

Nicht hardwaretechnisch, sondern aufgrund Softwarerestriktion. Die meisten Hersteller lassen es nur bei größeren Modellen zu und bei kleineren gibt es nur vordefinierte WAN-Interfaces. Vorgeschobener Grund ist die Vereinfachung der Konfiguration für SMB-Kunden - tatsächlicher Grund ist der Schutz des Absatzes der größeren Modelle.


Zitat von @horst98:
Und dann gibt es jetzt immer öfter diese Software Appliances. Kann es sich lohnen, so ein Teil auf einem gesonderten > PC laufen zu haben? Oder sind die Dinger zu weich gegen Angriffe gegen das Betriebssystem?

Wenn Du pfSense, ipCop usw. meinst: die sind nicht grundsätzlich schlechter als die rein kommerziellen Systeme - zumal auch viele rein kommerzielle Anbieter ihr System auch als reine Softwarevariante verkaufen. Die Frage ist halt immer, wie verlässlich der Support dahinter ist (idR kann man auch bei den Opensource-Projekten kommerziellen Support erhalten) und inwieweit die Weiterentwicklung gewährleistet ist. Außerdem hat man halt keinen großen Namen, wohinter man sich verstecken kann, wenn man aufgrund eigener Inkompetenz das System unsicher konfiguriert hat. Letzteres ist nämlich der entscheidende Punkt: Alle Firewallsysteme dürften im Großen und Ganzen ausreichend gehärtet sein - sicher konfigurieren muss sie jedoch der Admin! Und wenn ich da von Dir Termini wie "Durchleitungsregeln" lese und in Deinen Anforderungen keine Ausführungen bzgl. DMZ finde, schwant mir Schlimmes.


Gruß
sk
Tharen
Tharen 09.06.2013 aktualisiert um 21:47:48 Uhr
Goto Top
Guten Abend...

habe zwar den Namen Watchguard schon irgendwo im Beitrag gelesen...

aber die haben noch bis zum 30.06.2013 Red-Instead

2 Stück von XTM 515 oder 525 als HA-Cluster,
- sollte immernoch im Budget sein.

Wir setzen an den Standorten die XTM515 mit je 2 Wan-Leitung mit Failover.

Ab einer bestimmten Preisklasse ist glaube ich der Funktionsumfang bei den namhaften Herstellern vergleichbar.

Nach welchen Kriterien möchtest Du unterscheide und entscheiden ??

Schönen Abend

Tharen