Sonicwall tz 180 gegen was neues austauschen

Moin,
soweit ich weiß unterstützt sogar die TZ100 100MBit am WAN Port. Kannst du hier nachschauen. Sonicwall's sind eigentlich reine Firewalls. Jedoch gibt es die TZ-Serien mit WLAN-Modul. Allerdings kann man dieses nicht nachrüsten sondern du musst beim Kauf wissen ob du es brauchst oder nicht. Ist natürlich auch Kostenpunkt. Da würde ich aber klären ob es nicht günstiger ist, einen extra AP zu kaufen.


Grüße,
Dani

Mit Linksys wirst nicht glück und wenn du die Preise von Cisco ASA mit den gleichen Funktionen wie du in der SW haben möchtest werden dir die Tränen kommen.
Zu anderen Hersteller kann ich nichts sagen - wir haben nur Cisco und Sonicwall.


Grüße,
Dani

2 PPPoE Anschlüsse? Das wäre mir neu. Die ASA hat glaube 2 PoE Ports.
Ich habe schon lange keine ASA mehr in der Hand gehabt aber ich meine jeder Port kann als WAN-Port benutzt werden wenn er entsprechend konfiguriert ist.


Grüße,
Dani

Inwiefern brauchst Du denn Gigabit-Anschlüsse? Da VLANs im Anforderungskatalog stehen, gehe ich davon aus, dass Du ohnehin einen Gigabit-Switch zur Verfügung hast, auf dem die Hosts hängen werden. Und ein Inter-VLAN-Routing im Gigagbit-Bereich scheidet bei Deinen Preisvorstellungen ohnehin aus.



Was meinst Du mit "einstellbarer WAN-Port"?



Unter dem gegebenen Preisdiktat wäre u.U. eine Zywall USG-50 (ggf. mit externem Accesspoint) eine Option. Das Ding befindet sich natürlich am unteren Ende des Produktportfolios, deshalb müsste man wirklich genau Deine Anforderungen analysieren...


Gruß
sk

Hallo,
ich habe hier nicht die Listen, aber ne TZ100 kostet nur 300 Euro.
Ich kenne aber nur die TZ100, weiß also nicht ob die langsammer oder schneller als die 180er ist.
Stefan

Das Preis-Leistungs-Verhältnis der 20W ist schon gut. Deine Durchsatzanforderungen dürften das Ding aber an die Grenze treiben.
Außerdem solltest Du beachten, dass die 20er einen kleinen Lüfter haben. USG-50, 100 und 200 haben keinen. Alle größeren USGs haben mehrere Lüfter...

Gruß
sk

Hallo,

ich habe schon einige TZ180 gegen TZ200/TZ210 ersetzt. Unser Händler hat immer ein gutes Angebot für den Austausch gemacht, so dass die neue TZ nicht viel teurer war als die Verlängerung des Services (TotalSecure) für die TZ180. Rede mal mit Deinem Händler, der kann bestimmt Dir entgegen kommen.
vG
LS

OK, also nicht privat. Dann sind die 300-400 EUR netto (ohne Merkelsteuer), oder?



Und soll die Firewall nun als Switch mißbraucht werden? Oder warum die Anforderung Gigabit-Schnittstellen? Die Anforderung als solche erfüllen fast alle Firewalls aber deshalb schaffen noch längst nicht alle Wirespeed Switchingdurchsatz. Die (kleinen) Zywalls zumindest nicht. Das sollte Dir bewusst sein!



Da es offenkundig um eine Small-Business-Umgebung geht, hängen aber wohl nicht hunderte Clients an diesem Anschluß und lasten die Verbindung ständig zu einem hohen Anteil aus. Die 100MBit/s dürften eher selten gefordert sein. Insofern sollte es genügen, wenn die FW in der Spitze mal ca. 80 bis 100 MBit/s verarbeiten kann, auch wenn sie dann auf Anschlag fährt (und die Latenz damit deutlich steigt). Alles andere erscheint mir rein auf den Durchsatz bezogen übertrieben und unwirtschaftlich.

Muss die Box denn UTM-Dienste mit diesem Durchsatz bereitstellen können (also IDP, AV etc.)?



Also ein normaler Ethernet-WAN-Port ohne integriertes Modem. Das ist bei allen Firewalls der Normalfall - also kein Problem.



Das ist zu ungenau! Was für VPNs? Site-to-Site oder Client-to Site? Welche Protokolle, welche Authentifizierungsmetoden etc...
Wofür dienen die VLANs? Muss die Firewall dazwischen routen? Wenn ja, mit welchem Durchsatz?


Gruß
sk

Hallo,

schau dir mal die Fortine-Produkte an, speziell die FG-60C (http://www.fortinet.com/products/fortigate/60C.html) ).
- Firewall-Durchsatz: 1 Gb/s
- IPSec-Durchsatz: 70 Mb/s
- AV-Durchsatz: 20 Mb/s (allerdings "file based scanning" und nicht bloß "flow based scanning" wie die Sonicwall)
- IPS-Durchsatz: 60 Mb/s

Preislich wirst du allerdings aufstocken müssen !

mfg
Harald

Also doch ganz anders, als zunächst vermutet. Da frage ich mich schon, ob Du die Funktionen einer dedizierten DPI-Firewall überhaupt nutzen würdest.
Vermutlich wäre ein normaler WLAN-Router sinnvoller. Da bekommt man problemlos zu einem Bruchteil des Preises einer Firewall ein Gerät mit dem gewünschten Durchsatz. Der höhere Durchsatz der Home-Router gegenüber einer (echten) Firewall hat technische Gründe. Der Router schaut sich die Pakete bei Weitem nicht so genau an, wie eine echte Firewall. Dabei meine ich noch nicht einmal die sog. UTM-Dienste, sondern z.B. die Prüfung auf Traffic- und Protokoll-Anomalien.
Einem normalen Heimrouter fehlen darüber hinaus viele der erweiterten Funktionen einer Firewall. Allen voran haben sie meist nur ein Inside-Interface (wenn auch mit mehreren Switchports) und unterstützen keine VLANs. Die Separierung der Testumgebung und der sonstigen abzutrennenden Netze vom LAN könnte im vorliegenden Szenario aber weiterhin mit der Sonicwall erfolgen. Nur die Privat-PCs würde man wegen dem Durchsatz direkt an den Router hängen.



Wenn Du nicht an irgendeinem Punkt einen Kompromiß machen möchtest, dann ja.
Als Alternative kämen noch die diversen OpenSource-Firewall-Distries wie pfSense, M0n0wall, IPCop etc. in Betracht (entweder auf physischer Hardware oder virtualisiert, wenn der Server der Testumgebung ohnehin durchläuft). Oder Du schaust Dir mal die Microtik-Systeme an.



Was meinst Du damit? Den Telnet-Zugang auf die Firewall selbst?



Man kann - muss aber nicht. Es ist sogar so, dass bei Zyxel vergleichsweise viele Funktionen kostenlos nutzbar sind. IDP, AV und Contentfilter sind natürlich kostenpflichtige Services. Aber ADP (Traffic- u. Protokollanomalie-Detection u. -Prevention) und Application Patrol sind kostenfrei nutzbar. Letzteres basiert allerdings auf den Signaturen des IDP-Systems, welche nach Ablauf der IDP-Testphase nicht mehr aktualisiert werden. Auch Firmwareupdates und Endkundensupport gibt es übrigens bei Zyxel - anders als z.B. bei Sonicwall - für lau.



Wo hast Du denn das mit dem RAM und den Routingprotokollen her? Zumindest das Fehlen von RIP und OSPF stimmt nicht - das kann die USG-50 auch.
Natürlich unterscheiden sich die 50er und die 100er sowohl hard- als auch softwareseitig. Die 100er hat einen schnelleren Prozessor und damit mehr Durchsatz. Softwareseitig fehlen einige Funktionen. So kann die USG-50 z.B. kein Device-HA und auch kein L2TPoverIPSec-VPN (eigentlich eines Deiner Wunschfeatures). Letzteres soll aber auch für die kleinen Geräte kommen, sobald die Funktionen der größeren Geräte (mit Erscheinen von ZLD3.x) soweit aufgebohrt wurden, dass der Abstand wieder stimmt.
Bei der Bewertung des Preisunterschieds zwischen USG50 und USG100 sollte man zudem berücksichtigen, dass ab der 100er 5 Jahre Garantie mit Vorabaustausch am nächsten Werktag inklusive sind. USG20 und 50 haben nur 2 Jahre Standardgarantie.

Also wenn es eine Zywall sein soll und Du damit leben kannst, dass das Ding einen kleinen CPU-Lüfter besitzt und derzeit kein L2TP-VPN unterstützt, dann nimm lieber eine USG-20 (ohne W, dafür aber einen externen Accesspoint). Die 64MBit/s schafft das Teil. Wenn das irgendwann in der Zukunft zu wenig sein sollte, dann vertickst Du es in der Bucht für 30 bis 50% des Anschaffungspreises. Da es die USG20 bereits ab 140 EUR zu kaufen gibt, verlierst Du max. 100 EUR. Allemal besser, als jetzt ein völlig überdimensioniertes und um ein vielfaches teureres Gerät zu kaufen, dessen Mehrleistung lange Zeit ungenutzt bleibt.


Gruß
sk

In der Theorie sollte ein filebased Scan zwar zuverlässiger und weniger leicht zu umgehen sein (zumindest wenn man das File bei Überschreiten der Dateigrößenrestriktion zerstört), aber gerade Sonicwall zeigt, dass ein gut gemachter streambased Scan (der im Übrigen auch wesentlich aufwändiger zu implementieren ist) mindestens genauso gut sein kann. Siehe z.B. http://www.networkworld.com/reviews/2007/111207-utm-firewall-test-antiv ...
Insofern überwiegen beim filebased Scan nur noch die Nachteile wie Filegrößenrestriktion und lausige Performence.
Nein, das Thema AV-Scan ist m.E. gerade _kein_ Argument pro Fortigate! Fortis Stärke ist zweifelsohne der hardwarebeschleunigte Stateful-Durchsatz. Aber das ist nunmal nicht alles...

Gruß
sk

Sofern der Borderrouter nattet, würde ich diesen in Hinblick auf die Implementierung von VPN einsparen.



Seltsame Aussage. Den admistrativen Zugriff - egal ob CLI, WebGUI, SNMP etc. - sollte man natürlich nur von vertrauenswürdigen Stationen aus erlauben und möglichst verschlüsselte Protokolle verwenden. Der Zugriff per Telnet ist auf der USG per Default deaktiviert. Zulässig ist u.a. SSH, aber das auch nur vom LAN aus.



Kann mir nicht erklären, was das sein soll. Quelle?



Flash ist nichtflüchtiger Speicher. Hier sind das Firmwareimage, die Signaturen und die startup-config gespeichert. Wenn das Gerät startet wird alles in den RAM geladen.



Incl. Merkelsteuer? Das wäre ein Kampfpreis.
Wobei die AV-Lizenz für Dich uninteressant sein sollte, denn das reisst den Durchsatz auf um die 30MBit/s runter. Welche Engine wäre es denn? Die Zyxel-Engine soll etwas schneller sein, als die von Kaspersky.
Viel bringt es aber ohnehin nicht und man lernt auch nichts dabei.
Wenn Du die Wahl hast, dann nimm zum Spielen/Lernen besser die IDP-Lizenz. Zieht auch nicht ganz so viel Durchsatz - zumindest die 64MBit/s sollten damit noch möglich sein.
3 Monate hast Du übrigens von allen Services freien Testzeitraum...



Es gibt übrigens von allen bisher genannten "Kandidaten" Livedemos der WebGUI im Netz:

https://www.fortigate.com/login (demo/fortigate)
http://livedemo.sonicwall.com/livedemo.html
https://demo.zywall.zyxel.com (demo/demouser)


Gruß
sk

Hallo,

@..sk.. : bei neueren Fortigate Firmware kann man auch auf "flow based scanning" umschalten (obwohl ich das nicht empfehlen würde).

@kowa1981 : wir sind Fortinet Partner und haben bei unseren Kunden weit über hundert Fortigates verschiedener Größe im Einsatz. Die Erfahrungen sind dabei durchaus positiv.

Fortigates werden üblicherweise mit einem Support-Bundle vertrieben (Firmware-Updates, AV- und IDS-Updates, etc.).
Der offizielle Support ist nicht berauschend, das inoffizielle Forum ist da wesentlich besser.
Neue Firmware gibt es etwa alle 2 Monate, wobei die FG-60C eine ganz neue Architektur darstellt (SoC auf Risk-Basis), während alle anderen Geräte auf x86-compatiblen CPU's basieren, insofern ist hier die Firmware-Versorgung noch nicht optimal (das wird sich aber sicherlich kurzfristig vernessern).

mfg
Harald

In Klammern stehen Benutzername und Kennwort.



Das ist eine Ansage! Bei den meisten e-Tailern kosten die Boxen um die 600 EUR (ohne AV-Lizenz).



Das sind keine Routingsprotokolle. Hierbei geht es um Multicasting. Wobei das m.E. ein Fehler im Datenblatt ist. M.W. können die ZLD-Boxen (noch) kein IGMP - zumindest habe ich noch keine Möglichkeit gefunden, dies zu konfigurieren.


Gruß
sk

Bedenke, dass die FG-60c z.T. Deinen Anforderungskatalog nicht erfüllt. Der angegebene FW-Durchsatz ist der (theoretische) Gesamtdurchsatz. Das System hat aber nur 100er Interfaces...
Die Fortis sind beileibe nicht schlecht, aber wenn Du in diese Preisregionen gehst, hast Du auch wiederum mehr Auswahl beim Mitbewerb. Juniper zum Beispiel. Aber auch die TZ210N kommt dann wieder in Betracht und die erfüllt Deinen ursprünglichen Anforderungskatalog m.E. am besten.

Gruß
sk

M.W. signalisiert eine Station per IGMP, dass sie in eine Multicastgruppe eintreten oder aus dieser wieder abgemeldet werden will. Unter einem Routingprotokoll verstehe ich etwas anderes. Nämlich, dass sich Router über die Erreichbarkeit von Zielen verständigen - also Wegefindung (optimaler Pfad, Alternativpfade, "Kosten" etc.). Für Multicast-Ziele gibt es entsprechend angepasste Protokolle wie MOSPF.



Die kupfern alle gegenseitig voneinander ab. Bis vor kurzem ähnelte die Menüstruktur der Zywall auch noch stärker der Sonicwall oder der Fortigate. Mit ZLD2.2x hat man auf das ExtJS-Framework umgestellt. Juniper verwendet das auch bei der SRX-Reihe. Da hat sich Zyxel scheinbar auch die unsinnige Unterteilung in die vier Hauptreiter am linken Rand abgeschaut.



Wir haben rund 20 USG-300 im Einsatz und die laufen unter meinen Einsatzbedingungen sehr stabil. Ansonsten haben wir noch NSA3500 und Cisco ASA. Im unteren Preissegment bietet Zyxel m.E. deutlich mehr fürs Geld. Nach oben kann Zyxel aber mit den anderen nicht mithalten. You get what you pay for - das sollte man nicht vergessen und deshalb seine eigenen Anforderungen genau analysieren und im Blick behalten.


Gruß
sk

Hallo ..sk..,

da hast du nur teilweise recht:
1. wan1, wan2 und dmz sind 100er Interfaces,
2. Der interne Switch hat 1000er Interfaces. Da sich die Switchports separat betreiben lassen, bzw. da man ja auch noch VLAN's benutzen kann stehen an der FG60C mehrere Gb-Ports zur Verfügung. Die Bezeichnungen der Ports dienen nur zur Identifizierung und können frei nach Belieben genutz werden (z.B. eine DMZ an einen "internal" Port).
3. Die angegebenen Geschwindigkeiten sind nicht nur theoretische Werte, sondern werden dank Hardware-Beschleunigung (FortiASIC) auch in der Praxis erreicht.

@kowa1981: Unser Vertrieb hat mir inzwischen mal einen Kampfpreis genannt, wenn du noch Interesse hast, so melde dich einfach per PN bei mir.
Evtl. gibt es dann noch die Möglichkeit einer Teststellung.

mfg
Harald