dol123
Goto Top

Neuanschaffung Firewall Cisco ASA oder Watchguard Firebox

Bin auf der Suche nach einer neuen Firewall für unsere Firma und bräuchte mal etwas Hilfe

Unser Netzwerk besteht aus 2 Win2003 Server - Mails erhalten wir von der Telekom per SMTP auf unseren Mailserver zugestellt. VPN wird nur von mir genutzt, um
per Fernwartung auf 3 Heimarbeitsplätze und eine kleine Aussenstelle zuzugreifen.

Hab mich schon durch dieses Forum gelesen und meine Auswahl auf die Cisco AFA 5510 oder die Watchguard Firebox X550 eingeschränkt. Die kleineren / günstigeren
Modelle von Cisco oder Watchguard kann ich leider nicht nehmen, da ein Virenscanner auf/an der Firewall gewünscht wird (und so weit ich das verstehe bei den kleineren Geräten
nicht vorhanden ist. Die Erstkonfiguration (inkl. Einweisung) würde jeweils durch den Fachhändler erfolgen - nur künftige Änderung würde ich selber vornehmen.

Nun hätte ich gerne eure Meinung zu den beiden Geräten - ist die Cicso nicht nur teuerer sondern auch besser? So viel ich gelesen habe, ist die Watchguard nicht nur billiger
sondern auch wesentlich einfacher zu konfigurieren/bedienen, was mir auch wichtig wäre.

Gibt es weitere alternativen zu diesen beiden Geräten? Die Kostenlosen Linux-Firewalls scheiden leider aus, da ich nicht die Zeit habe mich da einzuarbeiten.
Für die Endian hätte ich ein Angobt von einem örtlichen Systemhaus.

Bin für jede Hilfe dankbar!

MfG
dol123

Content-ID: 96467

Url: https://administrator.de/contentid/96467

Ausgedruckt am: 26.11.2024 um 14:11 Uhr

brammer
brammer 09.09.2008 um 14:32:01 Uhr
Goto Top
Hallo,

da die Preise der beiden nicht soweit auseinander liegen solltest du überlegen was besser in deine Infrastruktur passt.
Brauchst du für die Administration eine Schulung oder kennst du dich mit Cisco Geräten aus ?
Bietet dir Watchguard den entsprechenden Service bei Ausfall, und was kostet der Spass!
(Bei allen Fragen kann man auch die Hersteller namen gegeneinander austauschen)
Ich kenne die Watchguard nicht wirklich, habe aber nichts schlechtes gehört. Bei der ASA hast du aber nach meinem Wissen mehr Möglichkeiten zur Fein Einstellung.
Letzten Endes fast schon Geschmackssache.

brammer
Rafiki
Rafiki 09.09.2008 um 15:27:01 Uhr
Goto Top
Eine Cisco ASA Firewall zu konfigurieren ist nicht einfach! Anfänger haben insbesondere mit den VPN Verbindungen viele Probleme. Der Grundkursus bei Cisco - (alt: SNPA, neu:SNAF) dauert 5 Tage.

Im Vergleich dazu ist die Firebox sehr einfach zu konfigurieren. Mit der grafischen Oberfläche kommt man nach wenigen Stunden gut zurecht. Grundkenntnisse was eine IP Adresse von einer Port Adresse unterscheidet einmal vorausgesetzt. Ich empfehle dir mal deinen Händler zu besuchen und dann setz dich mit einem Techniker mal 1 Stunde vor die Watchguard. Insbesondere wenn du wenig Zeit für die Firewall hast sollte das ein wichtiger Punkt sein.

Einen Virusscanner in die Firewall einzubauen bedeutet bei beiden Modellen das die Performance für Emails und Internetsurfen massiv einbricht. Nach meiner Meinung ist der Virusscanner auf einem ProxyServer bzw. dem EmailServer besser aufgehoben. Watchguard selber sagt, dass der smtp proxy / http proxy eine hohe Last auf der Firewall verursacht. Besser nur den Paketfilter verwenden.

Bei beiden Anbietern muss man häufig (ca. monatlich?) die Software auf der Firewall aktualisieren wenn wieder neue Lücken gefunden werden. Dafür ist ein Wartungsvertrag erforderlich.

Ich persönlich habe schlechte Erfahrungen mit der deutschen Hotline von Watchguard gemacht, da ich erst viel zu spät zurückgerufen wurde, falsche oder unsinnige Antworten bekam oder man mir erklärt hat Watchguard in den USA könnte das nur beheben. Deshalb such dir bitte einen Händler der qualifizierte Techniker hat und vereinbare einen Stundensatz für Support. Wenn dein Händler fitt ist können die sogar regelmäßig deine Firewall aktualisieren. Das setzt allerdings ein hohes Maß an Vertrauen in den Händler vorraus.

Gruß Rafiki
Deepsys
Deepsys 09.09.2008 um 15:37:32 Uhr
Goto Top
Hi,

ich kenne nur die Watchguard Fireboxen und finde die recht angenehm und recht einfach zu administrieren.
Auf jeden Fall solltest du dir bei Watchguard nicht die LiveSecurity sparen, damit hast du Support über die Webseite.

Dazu kann ich allerdings im Gegensatz zu Rafiki nichts Schlechtes sagen, allerdings benutze ich immer den englische Support über die LiveSecurity. Und der antwortet meist immerhalb von Stunden. Bei einer Anfrage heute, noch nicht mal eine Stunde !!


Aber ich stimme auch Rafiki zu, such dir einen guten Händler, da doch am Anfang öfter mal fragen auftreten und da wäre es schade die 5 Support-Calls der LiveSecurity zu verballern face-wink

Ich denke, für dich wäre die Watchguard sicher nicht falsch, aber ich kenne die Cisco nicht.
Wir haben übrigens mittlerweile 4 Fireboxen und mehrere Edge und bisher keine größeren Probleme.

VG
deepsys
dol123
dol123 09.09.2008 um 15:54:30 Uhr
Goto Top
Danke für die schnellen Antworten.

Damit wäre die Cisco schon mal aus dem rennen - 5 Tage Seminar nur um eine Firewall zu konfigurieren ist leicht übertrieben.

Wenn ich die AntiViren-Lösung nicht brauche, könnt ich doch auch nur ein Watchguard FBX10 oder FBX20 nehmen. Oder spricht bei ca. 12 User mit Internetzugang plus den o.g. VPNs was dagegen??

Zum Thema Virenscanner of Proxy: welchen würdet ihr empfehlen?

Jemand Erfahrung mit der kostenpflichtigen Endian Firewall?

MfG
dol123
51705
51705 09.09.2008 um 20:59:30 Uhr
Goto Top
Hallo dol123,

vielleicht etwas OT...

Firewall ist ja ein dehnbarer Begriff. In deinem Fall scheint ein Gateway mit Firewall-Funktionen gesucht. Als Gateway bevorzuge ich Geräte, welche so intelligent wie nötig, aber auch so dumm wie möglich sind. Das reduziert in meinen Augen die Angriffsfläche. Das läuft also auf einen Router mit NAT, Portfilter, SIF und evtl. VPN hinaus. Alle höheren Netzwerkschichten sollten auf einem nachgelagerten Proxy implementiert werden.

Virenscanner möchte ich nicht auf einem Router betreiben.

Grüße, Steffen
micky74
micky74 09.09.2008 um 22:43:25 Uhr
Goto Top
Hallo,
Du hast zwar schon eine Menge Antworten bekommen, einen kleinen vielleicht nützlichen "Senf" kann ich noch dazugeben.
Wir haben seit über einem Jahr die WG X-Edge20e im Einsatz und seit kurzem mit interiertem Virenscanner und WebFilter (UTM Bundle) der Preis für das Gerät ist unschlagbar ~500€ HW + 200€ für die UTM Lizenz inkl. 1 Jahr LiveSecurity.
Perfomance Einbußen kann ich bislang nicht feststellen und der Suport (1 Fall bislang) war Top.
Wichtige Einschränkung der Edge Reihe: Konfiguration nur über Web-Interface. Recht intuitiv aber die Konfiguration und Überwachung über die SW der Core und Peak Reihe bietet wesentlich mehr.

Viel Erfolg bei der Entscheidungsfindung!

Micky
dol123
dol123 10.09.2008 um 08:44:45 Uhr
Goto Top
Erstmal DANKE an alle fürs Antworten!

Die Watchguard X-Edge20e wäre von Preis / Leistung her derzeit erste wahl. Auch wegen der einfachen Art
der Konfiguration.Sie sollte ja unsere Zwecke ja auchausreichen. Nur das mit den verschiedenen VPN Lizenzen
hab ich noch nicht ganz verstanden. Bezieht sich die Anzahl auf gleichzeitig aktive VPN-Verbindungen oder
kann ich nicht mehr Verbindungen einrichten?

Derzeit nutze ich Haupsächlich die "Windows-VPN" welche man unter Netzwerkumgebungen einrichten kann.
Fällt diese überhaupt in eine der drei VPN-Lizenz-Arten ( Branch Office VPN, Mobile User Tunnel IPSec, Mobile
User Tunnel SSL) ??

MfG
dol123
Deepsys
Deepsys 11.09.2008 um 08:15:22 Uhr
Goto Top
Hi,

also:
Branch Office VPN sind permante VPN-Verbindungen zwischen zwei VPN-Gateway/Firewalls

Mobile User Tunnel IPSec: ist ein "Einwahl-VPN" das IPSec benutz.Dafür benötigst du eine Client-Software. Gibt es von WG umsonst. Steht zwar Watchguard drauf ist aber von der Firma NCP. Würde ich bevorzugen

Mobile User Tunnel SSL: ist ein "Einwahl-VPN" das SSL benutzt.Dafür benötigst du auch eine Client-Software. Gibt es auch von WG umsonst.

Eine Sache noch, die "kleinen" Edge bieten viel weniger Möglichkeiten als die Fireboxen, vor allem mit dem Optionalen Interfacen kannst du damit viel weniger machen !!!
NUR für den Internet-Zugang oder eine Außenstellenanbindung ist die Edge ausreichend, für mehr würde ich immer eine Firebox nehmen.

Sprich das vorher mit deinem Händler durch.

Noch was vergessen, mit Windows-VPN meinst du wahrscheinlich PPTP-VPN, das kann eine Firebox auch, aber ich würde das lieber per IPSec und dem Client machen. Das geht gut und ist sicher (hoffe ich face-wink ).

VG