Neuer Router-Firewall im Business Bereich
Hallo zusammen,
wir sind gerade am Überlegen, wie wir unsere bestehende Infrastruktur umstellen sollen.
Aktuell werden Zyxel USG eingesetzt. Diese, da schon in die Jahre gekommen, sollen ersetzt werden.
Wir haben mehrere Zyxel im Einsatz, mit verschiedenen WAN IPs.
Auch verschiedene Netze hinter den Zyxel.
Anforderung haben wir nicht allzu viele.
Es sollen verschiedene Netze verwaltet werden. In Summe zwischen 6-10 Stück.
Teilweise voneinander getrennt.
VLAN ist aktuell nicht im Einsatz, sollte aber mit der Umstrukturierung kommen.
IPSec und SSL VPN haben wir im Einsatz.
Was schön wäre, wenn wir alles von einer Firma hätten.
Router/Firewall, Switch und AccessPoint. Wäre nur schön, aber kein absolutes Muss.
Was für Infos werden noch benötigt?
Wir sind uns unschlüssig, welche Hardware eingesetzt werden soll.
Zyxel ist teilweise umständlich zu Konfigurieren. Wir haben allerdings auch keine Erfahrung mit anderen Systemen.
Haben den Bestand so übernommen.
Danke
wir sind gerade am Überlegen, wie wir unsere bestehende Infrastruktur umstellen sollen.
Aktuell werden Zyxel USG eingesetzt. Diese, da schon in die Jahre gekommen, sollen ersetzt werden.
Wir haben mehrere Zyxel im Einsatz, mit verschiedenen WAN IPs.
Auch verschiedene Netze hinter den Zyxel.
Anforderung haben wir nicht allzu viele.
Es sollen verschiedene Netze verwaltet werden. In Summe zwischen 6-10 Stück.
Teilweise voneinander getrennt.
VLAN ist aktuell nicht im Einsatz, sollte aber mit der Umstrukturierung kommen.
IPSec und SSL VPN haben wir im Einsatz.
Was schön wäre, wenn wir alles von einer Firma hätten.
Router/Firewall, Switch und AccessPoint. Wäre nur schön, aber kein absolutes Muss.
Was für Infos werden noch benötigt?
Wir sind uns unschlüssig, welche Hardware eingesetzt werden soll.
Zyxel ist teilweise umständlich zu Konfigurieren. Wir haben allerdings auch keine Erfahrung mit anderen Systemen.
Haben den Bestand so übernommen.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6639598255
Url: https://administrator.de/forum/neuer-router-firewall-im-business-bereich-6639598255.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
26 Kommentare
Neuester Kommentar
Was wollt Ihr denn genau machen ?
Wie viele VPN Tunnel gibt´s ? Home Office User, wie viele ?
Welchen Durchsatz soll die Firewall bringen ?
Hängen da noch Server hinter welche nach extern bereitgestellt werden ?
Anhand deiner Beschreibung geht´s vom billig Baumarkt Router bis hin zu einer Cisco ASA ( Firepower ) oder Juniper Firewall.
Wollt Ihr auch Webfilter / Application Filter / Reverse proxy etc. haben ?
Von wie vielen Usern reden wir ?
Welches Zyxel Modell wird derzeit eingesetzt ? Wenn Ihr mit Zyxel zufrieden seit warum wechseln ?
Andernfalls würde ich ggf. in die richtung schon vorhandener Hersteller gehen. Heißt wenn ihr z.b. Cisco Switches habt dann entsprechend ggf. eine Cisco Firewall........
Da aber nicht wirklich klar ist was Ihr / Du vorhast geht das wie gesagt von einer reinen Firewall , VPN Gateway bis hin zum kompletten Security Gateway mit allem bla und blubb. Preis natürlich auch von Tretroller bis Porsche oder Airbus 320 oder 380
Wie viele VPN Tunnel gibt´s ? Home Office User, wie viele ?
Welchen Durchsatz soll die Firewall bringen ?
Hängen da noch Server hinter welche nach extern bereitgestellt werden ?
Anhand deiner Beschreibung geht´s vom billig Baumarkt Router bis hin zu einer Cisco ASA ( Firepower ) oder Juniper Firewall.
Wollt Ihr auch Webfilter / Application Filter / Reverse proxy etc. haben ?
Von wie vielen Usern reden wir ?
Welches Zyxel Modell wird derzeit eingesetzt ? Wenn Ihr mit Zyxel zufrieden seit warum wechseln ?
Andernfalls würde ich ggf. in die richtung schon vorhandener Hersteller gehen. Heißt wenn ihr z.b. Cisco Switches habt dann entsprechend ggf. eine Cisco Firewall........
Da aber nicht wirklich klar ist was Ihr / Du vorhast geht das wie gesagt von einer reinen Firewall , VPN Gateway bis hin zum kompletten Security Gateway mit allem bla und blubb. Preis natürlich auch von Tretroller bis Porsche oder Airbus 320 oder 380
Zitat von @wusa88:
Bisher Zyxel also Router/Firewall,
Switche haben wir unterschiedliche im Einsatz. Dlink, Zyxel, HP
Und AccessPoints von Zyxel und Netgear.
Bisher Zyxel also Router/Firewall,
Switche haben wir unterschiedliche im Einsatz. Dlink, Zyxel, HP
Und AccessPoints von Zyxel und Netgear.
Na wenn ihr zufrieden seid und keine weiteren Anforderungen habt, dann stelle doch alles auf Zyxel um, dann hast du doch dein Wunschsezenario.
Ist schwierig, solch eine Frage ohne konkretisierte Anforderungen zu beantworten. So kann im Prinzip jeder nur seine "Lieblinge" nennen.
Die Ausstattung ist eine Frage der Vorlieben, des Geldbeutels und der persönlichen Erfahrung.
Kein Netzwerkequipment taugt etwas, das man nicht in den Basics im Schlaf bedienen kann.
Ich persönlich finde auch, gutes Netzwerkequipment ist solide (also keine Billigheimer) zeigt mir möglichst in Echtzeit, was im Netz los ist, ist leistungsfähig (also auch auf dem GUI nicht von Anfang an träge) und zu teuer sollte es auch nicht sein, sonst zahlt der Kunde mehr fürs Material als für die Dienstleistung (oder hat danach keine Lust mehr).
Wenn ich Mikrotik ausschließen müsste, würde ich am Perimeter auf eine Sense setzen und dahinter Cisco CBS legen.
Viele Grüße, commodity
Die Ausstattung ist eine Frage der Vorlieben, des Geldbeutels und der persönlichen Erfahrung.
Kein Netzwerkequipment taugt etwas, das man nicht in den Basics im Schlaf bedienen kann.
Ich persönlich finde auch, gutes Netzwerkequipment ist solide (also keine Billigheimer) zeigt mir möglichst in Echtzeit, was im Netz los ist, ist leistungsfähig (also auch auf dem GUI nicht von Anfang an träge) und zu teuer sollte es auch nicht sein, sonst zahlt der Kunde mehr fürs Material als für die Dienstleistung (oder hat danach keine Lust mehr).
Mikrotik ist für meinen Kollegen wegen dem Aufwand nichts.
Das kann eigentlich nur von jemandem kommen, der mit Netzwerkverwaltung nicht viel am Hut hat. In der IT ist Evolution alles. Manch einer verschläft sie.ob wir uns Ubiquiti antun sollen. Da bin ich aber nciht begeistert.
So geht es mir auch. Der Kollege findet es aber bestimmt "schick" Wenn ich Mikrotik ausschließen müsste, würde ich am Perimeter auf eine Sense setzen und dahinter Cisco CBS legen.
Viele Grüße, commodity
HP Switche habt ihr doch im Einsatz.
Von daher sollte das reichen um zumindestens die Netze weiterhin zu konfigurieren.
Firewalls gibt es wie Mr-Gustav sagt viele.
Allerdings sind diese mehr oder weniger komplex zu konfigurieren (kein Vergleich mit einem Home Router wie eine Fritzbox).
Auch Sophos ist teilweise sehr komlex je nachdem was man machen will, hat halt den Vorteil das die Firewall die eigenen APs mit steuert und somit die Einstellungen etwas komfortabler sind.
Lancom als deutscher Hersteller bietet alles an (Router, Firewall, VPN Gateway, WLAN AP und WLAN Controller) nicht gerade der günstigste Hersteller, dafür komplett Deutsch und sehr guter Support.
Vorteil kann evtl. die Lancom Cloud Management Engine sein, da hier viele vorgefertigte Skripte schon bereitgestellt werden die die Konfiguration erleichtern und man auch von aussen relativ einfach ein Gerät "fernwarten" kann.
Von daher sollte das reichen um zumindestens die Netze weiterhin zu konfigurieren.
Firewalls gibt es wie Mr-Gustav sagt viele.
Allerdings sind diese mehr oder weniger komplex zu konfigurieren (kein Vergleich mit einem Home Router wie eine Fritzbox).
Auch Sophos ist teilweise sehr komlex je nachdem was man machen will, hat halt den Vorteil das die Firewall die eigenen APs mit steuert und somit die Einstellungen etwas komfortabler sind.
Lancom als deutscher Hersteller bietet alles an (Router, Firewall, VPN Gateway, WLAN AP und WLAN Controller) nicht gerade der günstigste Hersteller, dafür komplett Deutsch und sehr guter Support.
Vorteil kann evtl. die Lancom Cloud Management Engine sein, da hier viele vorgefertigte Skripte schon bereitgestellt werden die die Konfiguration erleichtern und man auch von aussen relativ einfach ein Gerät "fernwarten" kann.
Bei diesen All-In-One-"Lösungen" geht es vor allem um dies:
Den Verkauf von Subscriptions und die Bindung an ein Ökosystem.
Zur Qualität solcher Lösungen ist hier schon alles gesagt:
Neue Hardware von Sophos - Managed Switches
Viele Grüße, commodity
Den Verkauf von Subscriptions und die Bindung an ein Ökosystem.
Zur Qualität solcher Lösungen ist hier schon alles gesagt:
Neue Hardware von Sophos - Managed Switches
Viele Grüße, commodity
Cisco 926-4P oder Cisco 1100.
Kommen beide mit einer Zonen basierten SPI Firewall daher.
Cisco Tutorial
Kommen beide mit einer Zonen basierten SPI Firewall daher.
Cisco Tutorial
ob die Voll Business fähig sind, war mir neu.
lks hat oben dazu schon das Zutreffende gesagt. Ein Blick auf die Produktpalette sagt doch alles. Wäre mir neu, dass 100G-Router in Privathaushalten stehen. Oder einfach im MT-Forum mitlesen, wer da was macht. Wäre mir auch neu, dass Zyxel oder Ubiquiti Geräte in diesem Segment anbieten.Wenn Du mit "voll Business fähig" aber einen Herstellersupport mit Subscription meinst, der sich 24/7 um Dich kümmert und VO-Tausch macht, ist Mikrotik nichts. Und mit einem Kollegen, der Klickibunti-Fan ist - auch nichts.
Für mich zählen Zuverlässigkeit, Leistung, Transparenz, Preis. Tauschen kann ich selbst
Viele Grüße, commodity
Nun ich vertrete ja die die Meinung das wenn man sich an ein System bzw. die GUI gewöhnt hat und diese beherrscht das man dann entspr. auch bei bleiben sollte.
Ausnahmen sind hier allerdings dann die Fälle wo sich ein oder einige Szenarien eben nicht mehr mit dem alten Hersteller abwickeln lassen. Dann muss man natürlich eine Alternative suchen.
Unterm Strich muss ich mittlerweile sowieso jeden Furz den eine Firewall kann extra bezahlen oder jeden User extra je nach Geschäftsmodell.
Das man eine Firewall kauf und die dann ohne Zusatzkosten auskommt ist derzeit fast unmöglich. Ausgenommen natürlich die Geräte die reines Portfiltering usw. machen. Wenn ich da dann eine Blacklist Check oder Webproxy oder oder oder haben will dann muss natürlich bezahlt werden denn es hat sich ja jemand hingesetzt und hat eine Liste erstellt in der dann z.b. die aktuellen IP´s der Botnetz Server drinne stehen oder eben die gefährlichen Seite welche nicht geöffnet werden sollen bzw. durch die FW geblockt werden sollen.
Alternativ kannst du dir ja mal die Cisco ASA ansehen wenn es rein um Firewall und IPSec S2S und Client VPN geht.
Je nach Modell können die dann auch was mehr.
Firewalls welche ich einsetzte bzw. verwalte ( Firma / Nebengewerbe / Privat:
Cisco ASA ( nur Verwaltung )
Sophos ( komplett inkl Installation und Einrichtung )
Zyxel USG / Zywall ( IPSec Client Zugangspunkt für Remote Netz/ Standort )
Barracuda ( nur Verwaltung auf Arbeit - wie die Cisco ASA´s )
Citrix Netscaler ( wird abgelöst )
F5 Big IP Edge ( Firewallfunktion / Rev. Proxy / VPN Endpoint für WEB VPN und VPN Client )
Juniper ( nur damit gespielt ) -
Juniper SA4500 ( EoL und eigentlich auch keine richtige Firewall
und dann wären da noch die ein oder andere PFsense/Opensense im HA Modus. Hierfür gabs/gibts Kombi Gehäuse wo zwei APU Board rein passen und ich hab dann auf 1 HE ein Minicluster aus zwei Firewalls
Hersteller mit denen ich zufrieden war:
Cisco ASA / Cisco ASA Firepower ( 5515? / 5525 / 5545 / 5585 )
Sophos ( in Hardware als auch als reine Software auf eigener Hardware )
Barracuda ( Modell F380 und F80 )
Zyxel USG oder Zywall ( hier aber nur als VPN Client für die Standortanbindung
+++Hersteller die mir nicht ins Haus kommen@@. @@
Securepoint
Sonicwall ( pers Gründe ) - Sind die mittlerweile nicht von DELL gekauft ?
Was ich mir bisher nur angesehn und für "gut" befunden habe
Fortinet
Watchguard
Juniper SRX und SSG
Ausnahmen sind hier allerdings dann die Fälle wo sich ein oder einige Szenarien eben nicht mehr mit dem alten Hersteller abwickeln lassen. Dann muss man natürlich eine Alternative suchen.
Unterm Strich muss ich mittlerweile sowieso jeden Furz den eine Firewall kann extra bezahlen oder jeden User extra je nach Geschäftsmodell.
Das man eine Firewall kauf und die dann ohne Zusatzkosten auskommt ist derzeit fast unmöglich. Ausgenommen natürlich die Geräte die reines Portfiltering usw. machen. Wenn ich da dann eine Blacklist Check oder Webproxy oder oder oder haben will dann muss natürlich bezahlt werden denn es hat sich ja jemand hingesetzt und hat eine Liste erstellt in der dann z.b. die aktuellen IP´s der Botnetz Server drinne stehen oder eben die gefährlichen Seite welche nicht geöffnet werden sollen bzw. durch die FW geblockt werden sollen.
Alternativ kannst du dir ja mal die Cisco ASA ansehen wenn es rein um Firewall und IPSec S2S und Client VPN geht.
Je nach Modell können die dann auch was mehr.
Firewalls welche ich einsetzte bzw. verwalte ( Firma / Nebengewerbe / Privat:
Cisco ASA ( nur Verwaltung )
Sophos ( komplett inkl Installation und Einrichtung )
Zyxel USG / Zywall ( IPSec Client Zugangspunkt für Remote Netz/ Standort )
Barracuda ( nur Verwaltung auf Arbeit - wie die Cisco ASA´s )
Citrix Netscaler ( wird abgelöst )
F5 Big IP Edge ( Firewallfunktion / Rev. Proxy / VPN Endpoint für WEB VPN und VPN Client )
Juniper ( nur damit gespielt ) -
Juniper SA4500 ( EoL und eigentlich auch keine richtige Firewall
und dann wären da noch die ein oder andere PFsense/Opensense im HA Modus. Hierfür gabs/gibts Kombi Gehäuse wo zwei APU Board rein passen und ich hab dann auf 1 HE ein Minicluster aus zwei Firewalls
Hersteller mit denen ich zufrieden war:
Cisco ASA / Cisco ASA Firepower ( 5515? / 5525 / 5545 / 5585 )
Sophos ( in Hardware als auch als reine Software auf eigener Hardware )
Barracuda ( Modell F380 und F80 )
Zyxel USG oder Zywall ( hier aber nur als VPN Client für die Standortanbindung
+++Hersteller die mir nicht ins Haus kommen@@. @@
Securepoint
Sonicwall ( pers Gründe ) - Sind die mittlerweile nicht von DELL gekauft ?
Was ich mir bisher nur angesehn und für "gut" befunden habe
Fortinet
Watchguard
Juniper SRX und SSG
weis ich jetzt auch
Alleine das der Reverse Proxy kein SNI kann. Das kann jeder FW mit Reverse Proxy´. Lauf dem Support ist das so nicht vorgesehn weil das nicht so viele leute machen ...... Das Führt dann zu lustigen entweder/oder Entscheidungen.
Nextcloud oder OWA per Reverse Proxy.
Wobei ich mal sage das es durchaus üblich ist mehr als 1 Webseite per Rev.Proxy zu verteilen.
Alleine wenn ich da OWA,Nextcloud,MDM und ggf. Citrix Gateway denke .....
Und das UI ist nach dem Update noch grottiger geworden als es vorher war. IPSec Einrichten ist auf dem Ding ebenfalls ein Krampf. Und OSPF / RIP kann man garnicht per GUI einrichten. Das geht nur rudimentär über die CLI.
Logs und Livelog ist auch nicht der Knaller. Da gibts deutlich bessere Lösung wie z.b. von Sophos und Co.
Alleine das der Reverse Proxy kein SNI kann. Das kann jeder FW mit Reverse Proxy´. Lauf dem Support ist das so nicht vorgesehn weil das nicht so viele leute machen ...... Das Führt dann zu lustigen entweder/oder Entscheidungen.
Nextcloud oder OWA per Reverse Proxy.
Wobei ich mal sage das es durchaus üblich ist mehr als 1 Webseite per Rev.Proxy zu verteilen.
Alleine wenn ich da OWA,Nextcloud,MDM und ggf. Citrix Gateway denke .....
Und das UI ist nach dem Update noch grottiger geworden als es vorher war. IPSec Einrichten ist auf dem Ding ebenfalls ein Krampf. Und OSPF / RIP kann man garnicht per GUI einrichten. Das geht nur rudimentär über die CLI.
Logs und Livelog ist auch nicht der Knaller. Da gibts deutlich bessere Lösung wie z.b. von Sophos und Co.
Das Reverse-Proxy Problem kannte ich noch nicht. Ich habe nur eine "geerbt" und der Kollege, der die verbaut hat meinte, der Kunde wollte was haben und der Distributor hat das angeboten. Eingerichtet wurde nichts. Genau der Usecase für das Gerät. Ein Blender. Nichts zum Arbeiten.
Die "Freuden" mit IPsec und Logs sind auch meine und das CLI ist mir auch aufgestoßen. Und die träge Oberfläche (ist nur ein Black Dwarf). OpenVPN kann sie aber immerhin recht ordentlich.
Viele Grüße, commodity
Die "Freuden" mit IPsec und Logs sind auch meine und das CLI ist mir auch aufgestoßen. Und die träge Oberfläche (ist nur ein Black Dwarf). OpenVPN kann sie aber immerhin recht ordentlich.
Viele Grüße, commodity
Open VPN geht in der Tat ganz flott. Site 2 Site über OVPN geht auch.
Zielgruppe sind wohl eher selbsternannte Admins
Die Dinger werden meistens von Wortmann hergestellt ( also die PC´s ) und dann
meistens über Wortmann bzw. über die an Wortmann angeschlossenen Servicepartner /
IT Unternehmen vertrieben und verkauft. Was hatte ich schon meinen Spaß mit der Hotline
Und das bezieht sich jetzt nicht nur auf die Firewall sondern auch auf den Securepoint AV. Da sind mir
genau so einige Dinge aufgestoßen wie bei der Firewall. Ich werde übrigens das Gefühl nicht los das die
irgendwie mit Wortmann zusammenhängen und oder anderweitig verbandelt sind.
Wortmann setzt die Firewalls ja auch als VPN Gateway für die IAAS Server Hosting Sachen ein. Da treffe
ich regelmäßig auf die Dinger in Virtuell. Cloud made in Deutschland
Zielgruppe sind wohl eher selbsternannte Admins
Die Dinger werden meistens von Wortmann hergestellt ( also die PC´s ) und dann
meistens über Wortmann bzw. über die an Wortmann angeschlossenen Servicepartner /
IT Unternehmen vertrieben und verkauft. Was hatte ich schon meinen Spaß mit der Hotline
Und das bezieht sich jetzt nicht nur auf die Firewall sondern auch auf den Securepoint AV. Da sind mir
genau so einige Dinge aufgestoßen wie bei der Firewall. Ich werde übrigens das Gefühl nicht los das die
irgendwie mit Wortmann zusammenhängen und oder anderweitig verbandelt sind.
Wortmann setzt die Firewalls ja auch als VPN Gateway für die IAAS Server Hosting Sachen ein. Da treffe
ich regelmäßig auf die Dinger in Virtuell. Cloud made in Deutschland
Ja bin auch dabei den Defenter for Endpoint über all zu Installieren. Wir bezahlen´s ja mit den MS365 E3 und MS365 Prem. schließlich mit und dann sollte man doppelte Kosten vermeiden.
Umstellen tut sowohl mein Haupt AG bei dem ich angestellt bin als auch die eine größere Firma mit 150MA die ich betreue.
Bei der 150Ma Firma komm ich beim Securepoint AV nicht mal auf die Konsole des AV weil das nur der Partner bzw. Reseller von Securepoint darf ( angeblich ). Das finde ich zum Kotzen ! Dann muss alles über den DL laufen und der Rechnet im 5 Min Takt ab
Aber das gibts dann nicht mehr. Ich denke aber das ist das Goodie was die für die DL bieten welche die Lizenzen verkaufen/vermieten
Bei meinem Haupt AG gibts hingegen von GDATA eine Konsole. Aber GDATA ist zu teuer geworden also fliegts raus.
Defender ist ja nicht mehr so schlecht.
Umstellen tut sowohl mein Haupt AG bei dem ich angestellt bin als auch die eine größere Firma mit 150MA die ich betreue.
Bei der 150Ma Firma komm ich beim Securepoint AV nicht mal auf die Konsole des AV weil das nur der Partner bzw. Reseller von Securepoint darf ( angeblich ). Das finde ich zum Kotzen ! Dann muss alles über den DL laufen und der Rechnet im 5 Min Takt ab
Aber das gibts dann nicht mehr. Ich denke aber das ist das Goodie was die für die DL bieten welche die Lizenzen verkaufen/vermieten
Bei meinem Haupt AG gibts hingegen von GDATA eine Konsole. Aber GDATA ist zu teuer geworden also fliegts raus.
Defender ist ja nicht mehr so schlecht.