marc2106
Goto Top

NG Firewall - Palo Alto Networks

Erfahrungsberichte Palo Alto Networks

Guten morgen zusammen.

Ich hoffe mein Post ist hier richtig. Mich würde mal interessieren, ob schon irgendwer Erfahrungen mit der NG Firewall von Palo Alto Networks gemacht hat.
Wir haben die PA-500 im Einsatz, meines Erachtens ist das Gerät genial und das Preismodell passt einfach.

Also ich wäre sehr an einem Erfahrungsaustausch interessiert.


Viele Grüße, Marc
Kommentar vom Moderator Frank am 25.03.2011 um 11:30:28 Uhr
Der Beitrag ist eine Frage und kein Erfahrungsbericht. Erfahrungsbericht bitte nur auswählen, wenn man einen schreiben will und nicht, wenn man einen sucht.

Content-ID: 163259

Url: https://administrator.de/contentid/163259

Ausgedruckt am: 25.11.2024 um 21:11 Uhr

tasteofchaos
tasteofchaos 06.10.2011 um 10:20:10 Uhr
Goto Top
Hallo Marc!

Wir haben aktuell die PA-500 im Test und ich muss sagen, dass ich wirklich begeistert bin.
Ich habe noch nie eine so intuitive und übersichtliche Firewall gesehen.

Leider stören mich folgende Punkte:
- Handling in der Weboberfläche ist bei der 500er zäh - relativ lange Wartezeiten bis eine Änderung angenommen wird
- es gibt aktuell noch keine Boxen für kleinere Außenstellen

Das Preismodell allerdings stößt bei mir auf Unverständnis. 8000€ für eine Box mit allen Lizenzen (was ja ok wäre), da ich HA benötige, kostet die zweite Box beinahe nochmal dasselbe, da sie voll lizenziert werden muss. Das wird der Hauptgrund sein, wieso wir keine PaloAlto kaufen werden, da ich das nicht einsehe. Sollte die Box Aktiv - Aktiv laufen wäre das ok, aber nicht bei Aktiv-Passiv. Die zweite Box würde ja nur zum Einsatz kommen, wenn die erste ausfällt.

Wie viele User habt ihr im Einsatz und wie sind die Erfahrungen im Echtbetrieb?

Schöne Grüße
Thomas
Marc2106
Marc2106 06.10.2011 um 23:04:20 Uhr
Goto Top
Hallo Thomas,

vielen Dank für Deinen Beitrag. Ich weis gar nicht wo ich anfangen soll zu schwärmen, denn seit dem ich damals hier die Frage ins Forum gestellt habe, hab ich sehr viele Erfahrungen im Echtbetrieb mit der PaloAlto sammeln können....
Das Preismodell ist im Vergleich zu Astaro & Co. (welche noch lange nicht den Umfang bieten, bis jetzt) eigentlich OK. Für den Preis hat man die Vollausstattung mit allem Drum und Dran.
Wir haben nach dem Test von ca 4 Monaten die 2. PA500 erworben um das HA zu realisieren (dazu gleich mehr). Das ganze läuft transparent in Kombination mit einer Cisco ASA, was m.E. die perfekte Konstellation in Sachen Security ist.
Zu Deinen Anmerkungen:
Weboberfläche zu langsam: Ja, das ist leider richtig, war bei mir eine lange Zeit ein Aufreger, wobei es sich jedoch im neuesten Firmware- Release ein bisschen verbessert hat. Das Problem ist PaloAlto auch bekannt und es wird daran geabreitet, das etwas performanter zu gestalten.
Demnächst soll wohl die PA250 erscheinen, welche für kleine Aussenstellen vorgesehen ist. Da ich immer in Cisco- Dimensionen denke, wäre sowas ein Ersatz für z.B. ne ASA5505.

Bezüglich des HA: Für uns hat im Prinzip nichts dagegen gesprochen, die PA als einzelne Box und nicht als HA in unserem Cisco Firewall- Failover Cluster laufen zu lassen. Da alle Interface an der PA einzeln konfigurierbar sind, war das kein Problem. Wäre die Box ausgefallen, hätte man sie einfach nur rausgenommen und fertig, gemerkt hätte den Unterschied keiner.

Mittlerweile habe ich viel Erfahrung sammeln können und die Kiste läuft und läuft. Jedoch bleibt sie für uns als Inline- Firewall vorgeschaltet zur ASA Firewall. Mehr Schutz geht kaum.
Weitere + Punkte:
Jedes Interface ist einzeln und komplett autak konfigurierbar
Der Appfilter ist sehr genau und detailliert
Intuitive Bedienung, meine Kollegen finden sich selbst ohne Schulung zurecht
Extrem hohe Skalierbarkeit.
PolicyBased Routing (Man könnte sogar festlegen, dass z.B. das Skype Protokoll oder eMails über ein anderes Interface laufen sollen, sehr gut)
Virtueller Router
- Punkte:
Wie Du schon sagtest, das Web- Frontend könnte wesentlich performanter sein

Ach ja, die Eckdaten:
User: ~ 650 Systeme
Anbindung: 100MBits synchron
Funktion: Layer7 App- Filtering + URL und Threatfilter + Virenschutz.

Naja, würde mich mal interessieren wie Du das nun mittlerweile siehst, über Antwort würd ich mich freuen. Ich hoffe ich konnte Dir mit meinem kleinen Erfahrungsbericht weitehelfen.

Viele Grüße,
Marc
tasteofchaos
tasteofchaos 10.10.2011 um 13:14:42 Uhr
Goto Top
Hallo Marc!

Ich kann mir gut vorstellen, dass die PA als Inline-Firewall perfekt ist. Allerdings ist das in unserer Umgebung (ca. 250 User Systeme / 30MBits synchron) etwas überdimensioniert - wir würden sie wenn dann schon als "Haupt" - Firewall nutzen wollen.

Ansonsten kann ich deine + Punkte nur bestätigen.

Wenn da nur die Lizenzierung der 2. Box nicht wäre.

Aktuell werden wir uns jetzt die Produkte von Cisco, Checkpoint und Barracuda noch einmal etwas genauer anschauen - mal sehen was dabei rauskommt.

Grüße
Thomas