kowa1981
Goto Top

Sonicwall tz 180 gegen was neues austauschen

Hallo zusammen,

Ich bin auf der Suche nach einer kostengünstigen Firewall/VPN Komponente um meine Sonicwall tz180 abzulösen.

Ich bin mit der Sonicwall zwar sehr zufrieden nur habe ich das Problem das ich inziwschen eine 64mbit Leitung habe und die Sonicwall nur 20mbit durchlässt.
Zudem würde ich gerne eine mit WLAN (wenns geht 300er) und Gblan haben.

Ich finde die Sonicwall TZ 210 genau passend für mein Vorhaben nur ist die mir zu teuer.
Preislimit liegt so bei ca 300Euro mit hängen und würgen vielleicht auch 400Euro.
Wenns günstiger geht dann gerne.

Hauptsache sie hat einen konfigurierbaren WANPort, VLAN, VPN und was ich weiter oben geschrieben habe.

Gibt es da vielleicht was von Cisco, Linksys, Netgear, Zyxel oder ähnliches?


Vielen Dank

Content-ID: 162528

Url: https://administrator.de/forum/sonicwall-tz-180-gegen-was-neues-austauschen-162528.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

StefanKittel
StefanKittel 12.03.2011 um 11:39:07 Uhr
Goto Top
Moin,

wenn Du Geld für so eine Leitung hast, solltest Du auch Geld für ne Sonicwall haben.
Wenn Du die Leistungen haben möchtest, sind die Geräte der anderen Anbieter auch nicht günstiger.
Mit einem 35 Euro-Netgear_Gerät wirst Du nicht glücklich werden.

Stefan
kowa1981
kowa1981 12.03.2011 um 11:58:34 Uhr
Goto Top
Vielen Dank Stefan für die schnelle Antwort.

Meinst du nicht das man für 300-400Euro da schon was bekommt?
Auf WLAN könnte ich zur Not auch verzichten aber 1000Euro sind einfach nicht machbar.
Dani
Dani 12.03.2011 um 12:04:59 Uhr
Goto Top
Moin,
soweit ich weiß unterstützt sogar die TZ100 100MBit am WAN Port. Kannst du hier nachschauen. Sonicwall's sind eigentlich reine Firewalls. Jedoch gibt es die TZ-Serien mit WLAN-Modul. Allerdings kann man dieses nicht nachrüsten sondern du musst beim Kauf wissen ob du es brauchst oder nicht. Ist natürlich auch Kostenpunkt. Da würde ich aber klären ob es nicht günstiger ist, einen extra AP zu kaufen.


Grüße,
Dani
kowa1981
kowa1981 12.03.2011 um 12:18:28 Uhr
Goto Top
das mag mit den 100mbit am WAN Port sein nur der Firewalldurchsatz liegt bei 30mbit was mich nicht weiter bringt.

In Sachen Sonicwall bin ich auf dem Laufenden. Was andere Anbieter angeht halt nicht und deshalb frag ich weil mir die passende Sonicwall einfach zu teuer ist auch wenn ich sie sehr gerne haben würde.
Dani
Dani 12.03.2011 um 12:23:31 Uhr
Goto Top
Mit Linksys wirst nicht glück und wenn du die Preise von Cisco ASA mit den gleichen Funktionen wie du in der SW haben möchtest werden dir die Tränen kommen.
Zu anderen Hersteller kann ich nichts sagen - wir haben nur Cisco und Sonicwall.


Grüße,
Dani
kowa1981
kowa1981 12.03.2011 um 12:31:44 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.
Der cisco asa 5505 würde mir gefallen aber der hat nur 100mbit Anschlüsse.
und ich weiss nicht ob der einen einstellbaren Wanport besitzt. In der Beschreibung steht nur 2 pppoe Anschlüsse

Der asa 5510 ist Preislich einfach nicht drin.

Ich brauche nicht viele VPNS und auch nicht viele VLANS.
Zwei VPNS und bis zu 5 VLANS würden reichen.

Vielleicht meldet sich ja noch jemand der von anderen Herstellern was zu bieten hat.
Sonicwall oder Cisco wäre mir zwar am liebsten nur wird das nicht hinhauen.
Dani
Dani 12.03.2011 um 12:39:15 Uhr
Goto Top
2 PPPoE Anschlüsse? Das wäre mir neu. Die ASA hat glaube 2 PoE Ports. face-smile
Ich habe schon lange keine ASA mehr in der Hand gehabt aber ich meine jeder Port kann als WAN-Port benutzt werden wenn er entsprechend konfiguriert ist.


Grüße,
Dani
kowa1981
kowa1981 12.03.2011 um 12:52:56 Uhr
Goto Top
Ah ok. Hab mich wohl verlesen.

Aber was hälst du zb. von diesem hier ZyXEL ZyWALL USG-20W.
Hätte ja soweit eigentlich alles was ich benötige.
sk
sk 12.03.2011 um 12:54:05 Uhr
Goto Top
Zitat von @kowa1981:
Der cisco asa 5505 würde mir gefallen aber der hat nur 100mbit Anschlüsse.

Inwiefern brauchst Du denn Gigabit-Anschlüsse? Da VLANs im Anforderungskatalog stehen, gehe ich davon aus, dass Du ohnehin einen Gigabit-Switch zur Verfügung hast, auf dem die Hosts hängen werden. Und ein Inter-VLAN-Routing im Gigagbit-Bereich scheidet bei Deinen Preisvorstellungen ohnehin aus.


Zitat von @kowa1981:
und ich weiss nicht ob der einen einstellbaren Wanport besitzt. In der Beschreibung steht nur 2 pppoe Anschlüsse

Was meinst Du mit "einstellbarer WAN-Port"?


Zitat von @kowa1981:
Vielleicht meldet sich ja noch jemand der von anderen Herstellern was zu bieten hat.
Sonicwall oder Cisco wäre mir zwar am liebsten nur wird das nicht hinhauen.

Unter dem gegebenen Preisdiktat wäre u.U. eine Zywall USG-50 (ggf. mit externem Accesspoint) eine Option. Das Ding befindet sich natürlich am unteren Ende des Produktportfolios, deshalb müsste man wirklich genau Deine Anforderungen analysieren...


Gruß
sk
StefanKittel
StefanKittel 12.03.2011 um 13:05:24 Uhr
Goto Top
Hallo,
ich habe hier nicht die Listen, aber ne TZ100 kostet nur 300 Euro.
Ich kenne aber nur die TZ100, weiß also nicht ob die langsammer oder schneller als die 180er ist.
Stefan
sk
sk 12.03.2011 um 13:06:43 Uhr
Goto Top
Zitat von @kowa1981:
Aber was hälst du zb. von diesem hier ZyXEL ZyWALL USG-20W.
Hätte ja soweit eigentlich alles was ich benötige.

Das Preis-Leistungs-Verhältnis der 20W ist schon gut. Deine Durchsatzanforderungen dürften das Ding aber an die Grenze treiben.
Außerdem solltest Du beachten, dass die 20er einen kleinen Lüfter haben. USG-50, 100 und 200 haben keinen. Alle größeren USGs haben mehrere Lüfter...

Gruß
sk
kowa1981
kowa1981 12.03.2011 um 13:10:41 Uhr
Goto Top
Vielen Dank SK für die schnelle Antwort.

Also vorhanden ist ein Unitymedia 64mbit Anschluss der eventuell in den nächsten Monaten auf 100Mbit aufgestockt wird(falls verfügbar)

Als Switch nutze ich den HP Procurve 1810g-8.
Modem ist ein Cisco Kabelmodem welches nicht einstellbar ist.
Als AP nutze ich aktuell den Speedport W900V Router von der TCOM(ist aktuell eine Notlösung).

Ich hab aktuell eine DMZ mit einem Exchange 2010.
Desweiteren habe ich einen Server 2008r2 als VHOST im Einsatz und darauf laufen 2DCs, 3CAs, 1TMG, 1Exchange, 1DNS, 1WSUS, 1TESTSERVER, 1Storage.
Aktuell nutze ich 2 VLANS und eine VPN Verbindung. Wollte in naher Zukunft allerdings 3VLANS einrichten und 2 VPN Verbindungen aufbauen. Allerdings ist das mit den 2 VPN gleichzeitig ein "Nice2Have" und ist nicht zwingend notwendig.

Mit einstellbarem WAN meine ich das der Konfiguriert werden kann und nicht so wie bei dem Speedport W900V nur Benutzerdaten angegeben werden können. Ich brauch auf dem WAN TCP/IP mit DHCP wie ich es bei der Sonicwall habe sonst kriege ich keine Verbindung zum Cisco Modem weil man bei dem Teil nichts einstellen kann.
laster
laster 12.03.2011 um 14:01:51 Uhr
Goto Top
Hallo,

ich habe schon einige TZ180 gegen TZ200/TZ210 ersetzt. Unser Händler hat immer ein gutes Angebot für den Austausch gemacht, so dass die neue TZ nicht viel teurer war als die Verlängerung des Services (TotalSecure) für die TZ180. Rede mal mit Deinem Händler, der kann bestimmt Dir entgegen kommen.
vG
LS
sk
sk 12.03.2011 um 14:18:27 Uhr
Goto Top
OK, also nicht privat. Dann sind die 300-400 EUR netto (ohne Merkelsteuer), oder?


Zitat von @kowa1981:
Als Switch nutze ich den HP Procurve 1810g-8.

Und soll die Firewall nun als Switch mißbraucht werden? Oder warum die Anforderung Gigabit-Schnittstellen? Die Anforderung als solche erfüllen fast alle Firewalls aber deshalb schaffen noch längst nicht alle Wirespeed Switchingdurchsatz. Die (kleinen) Zywalls zumindest nicht. Das sollte Dir bewusst sein!


Zitat von @kowa1981:
Also vorhanden ist ein Unitymedia 64mbit Anschluss der eventuell in den nächsten Monaten auf 100Mbit aufgestockt wird(falls verfügbar)

Da es offenkundig um eine Small-Business-Umgebung geht, hängen aber wohl nicht hunderte Clients an diesem Anschluß und lasten die Verbindung ständig zu einem hohen Anteil aus. Die 100MBit/s dürften eher selten gefordert sein. Insofern sollte es genügen, wenn die FW in der Spitze mal ca. 80 bis 100 MBit/s verarbeiten kann, auch wenn sie dann auf Anschlag fährt (und die Latenz damit deutlich steigt). Alles andere erscheint mir rein auf den Durchsatz bezogen übertrieben und unwirtschaftlich.

Muss die Box denn UTM-Dienste mit diesem Durchsatz bereitstellen können (also IDP, AV etc.)?


Zitat von @kowa1981:
Mit einstellbarem WAN meine ich das der Konfiguriert werden kann und nicht so wie bei dem Speedport W900V nur Benutzerdaten
angegeben werden können. Ich brauch auf dem WAN TCP/IP mit DHCP wie ich es bei der Sonicwall habe sonst kriege ich keine
Verbindung zum Cisco Modem weil man bei dem Teil nichts einstellen kann.

Also ein normaler Ethernet-WAN-Port ohne integriertes Modem. Das ist bei allen Firewalls der Normalfall - also kein Problem.


Zitat von @kowa1981:
Aktuell nutze ich 2 VLANS und eine VPN Verbindung. Wollte in naher Zukunft allerdings 3VLANS einrichten und 2 VPN Verbindungen
aufbauen. Allerdings ist das mit den 2 VPN gleichzeitig ein "Nice2Have" und ist nicht zwingend notwendig.

Das ist zu ungenau! Was für VPNs? Site-to-Site oder Client-to Site? Welche Protokolle, welche Authentifizierungsmetoden etc...
Wofür dienen die VLANs? Muss die Firewall dazwischen routen? Wenn ja, mit welchem Durchsatz?


Gruß
sk
kowa1981
kowa1981 12.03.2011 um 15:07:31 Uhr
Goto Top
Vielen Dank nochmals.

Ist mehr oder weniger Privat.
Es ist einmal mein privates Umfeld und übers VLAN eine getrennt gesehene berufliche Testumgebung.
Wenn mans so sehen möchte ist es keine Produktive umgebung. Zumindest der berufliche Teil.
Die Geschwindingkeit zwischen den VLAN ist erst einmal zweitrangig solange es keine 56k sind. face-wink

Den Firewallduchsatz brauch ich Hauptsächlich fürs Private.
Die VPNverbindungen brauche ich einmal fürs Private also eine C2S.
Allerdings brauche ich noch eine zweite Verbindung die ich beruflich nutzen werde.
Die allerdings wohl auch eine C2S werden. Die option für S2S würde ich mir aber gerne offen lassen.
Authentifizierungsmetoden sollten mindestens l2tp besser sstp möglich sein.

Gigabit wegen der Option auf eine größere Leitung.
Mit nem 100mbit komm ich da nicht weit.
Bei der 120mbit Leitung von UM ist dann schon wieder mist.
Ich hab keine Lust in einem Jahr dann wieder was neues zu holen.

Wenn ich den HP Switch weg lassen kann wäre das nicht schlecht aber in erster linie gehts eigentlich eher darum eine gblan Anbindung zwischen HP Switch-Firewall-Modem zu bekommen weshalb der Wanport auch gblan können sollte.

Zum Thema UTM Durchsatz.
Naja optimal wäre es schon nur wohl wiederum nicht bezahlbar.
Wenn UTM dann reicht da ein Durchsatz von 40mbit.


Nochmals zum Thema VLAN.
Je nachdem was es fürs Geld gibt wird VLAN und Switching über die FW oder den Switch realisiert.
Wie gesagt optimal wäre es wenn ich das alles über die FW machen könnte da der HP ja auch nicht unbedingt der beste für sowas ist.

Naja ich seh schon ich werd wohl eher was im bereich 1000-2000Euro brauchen um wirklich glücklich zu werden.
Nur dann stehen wieder die Folgekosten in nem Bereich den ich erst recht nicht mehr tragen kann.

Wie ist das bei den Zyxel usg 50-200.
Kann man da Telnet abschalten?
Und muss man da auch Jahreslizenzen für UTM usw beziehen?
kowa1981
kowa1981 12.03.2011 um 15:11:25 Uhr
Goto Top
Danke für den Tip.
Hatte ich schon nur das Problem ist das meine TZ180 nicht von ihm ist.
Ich hatte meine gebraucht (war allerdings unbenutzt) von einem anderen Händler extrem günstig bekommen.
Ich hatte bei dem anderen auch schon angefragt aber das ist mir aktuell einfach zuviel was ich drauf zahlen muss.
kowa1981
kowa1981 12.03.2011 um 15:31:23 Uhr
Goto Top
Und noch was.

Was bringt mir der eingebaute Ram bei dem usg 100?

Der unterscheidet sich ja nicht wirlich extrem zum usg 50 bis auf 2 Routingprotokolle die ich nicht brauche und
50ipsec vpns.

Von den Eckdaten spricht der zyxel usg 50 mich schon an und mit 300euro auch noch im Rahmen.
harald21
harald21 13.03.2011 um 21:44:14 Uhr
Goto Top
Hallo,

schau dir mal die Fortine-Produkte an, speziell die FG-60C (http://www.fortinet.com/products/fortigate/60C.html) ).
- Firewall-Durchsatz: 1 Gb/s
- IPSec-Durchsatz: 70 Mb/s
- AV-Durchsatz: 20 Mb/s (allerdings "file based scanning" und nicht bloß "flow based scanning" wie die Sonicwall)
- IPS-Durchsatz: 60 Mb/s

Preislich wirst du allerdings aufstocken müssen !

mfg
Harald
sk
sk 13.03.2011 um 21:51:18 Uhr
Goto Top
Ist mehr oder weniger Privat.
Es ist einmal mein privates Umfeld und übers VLAN eine getrennt gesehene berufliche Testumgebung.
Wenn mans so sehen möchte ist es keine Produktive umgebung. Zumindest der berufliche Teil.
Die Geschwindingkeit zwischen den VLAN ist erst einmal zweitrangig solange es keine 56k sind. face-wink
Den Firewallduchsatz brauch ich Hauptsächlich fürs Private.

Also doch ganz anders, als zunächst vermutet. Da frage ich mich schon, ob Du die Funktionen einer dedizierten DPI-Firewall überhaupt nutzen würdest.
Vermutlich wäre ein normaler WLAN-Router sinnvoller. Da bekommt man problemlos zu einem Bruchteil des Preises einer Firewall ein Gerät mit dem gewünschten Durchsatz. Der höhere Durchsatz der Home-Router gegenüber einer (echten) Firewall hat technische Gründe. Der Router schaut sich die Pakete bei Weitem nicht so genau an, wie eine echte Firewall. Dabei meine ich noch nicht einmal die sog. UTM-Dienste, sondern z.B. die Prüfung auf Traffic- und Protokoll-Anomalien.
Einem normalen Heimrouter fehlen darüber hinaus viele der erweiterten Funktionen einer Firewall. Allen voran haben sie meist nur ein Inside-Interface (wenn auch mit mehreren Switchports) und unterstützen keine VLANs. Die Separierung der Testumgebung und der sonstigen abzutrennenden Netze vom LAN könnte im vorliegenden Szenario aber weiterhin mit der Sonicwall erfolgen. Nur die Privat-PCs würde man wegen dem Durchsatz direkt an den Router hängen.


Naja ich seh schon ich werd wohl eher was im bereich 1000-2000Euro brauchen um wirklich glücklich zu werden.

Wenn Du nicht an irgendeinem Punkt einen Kompromiß machen möchtest, dann ja.
Als Alternative kämen noch die diversen OpenSource-Firewall-Distries wie pfSense, M0n0wall, IPCop etc. in Betracht (entweder auf physischer Hardware oder virtualisiert, wenn der Server der Testumgebung ohnehin durchläuft). Oder Du schaust Dir mal die Microtik-Systeme an.


Wie ist das bei den Zyxel usg 50-200.
Kann man da Telnet abschalten?

Was meinst Du damit? Den Telnet-Zugang auf die Firewall selbst?


Und muss man da auch Jahreslizenzen für UTM usw beziehen?

Man kann - muss aber nicht. Es ist sogar so, dass bei Zyxel vergleichsweise viele Funktionen kostenlos nutzbar sind. IDP, AV und Contentfilter sind natürlich kostenpflichtige Services. Aber ADP (Traffic- u. Protokollanomalie-Detection u. -Prevention) und Application Patrol sind kostenfrei nutzbar. Letzteres basiert allerdings auf den Signaturen des IDP-Systems, welche nach Ablauf der IDP-Testphase nicht mehr aktualisiert werden. Auch Firmwareupdates und Endkundensupport gibt es übrigens bei Zyxel - anders als z.B. bei Sonicwall - für lau.


Was bringt mir der eingebaute Ram bei dem usg 100? Der unterscheidet sich ja nicht wirlich extrem zum usg 50 bis
auf 2 Routingprotokolle die ich nicht brauche und 50ipsec vpns. Von den Eckdaten spricht der zyxel usg 50 mich schon
an und mit 300euro auch noch im Rahmen.

Wo hast Du denn das mit dem RAM und den Routingprotokollen her? Zumindest das Fehlen von RIP und OSPF stimmt nicht - das kann die USG-50 auch.
Natürlich unterscheiden sich die 50er und die 100er sowohl hard- als auch softwareseitig. Die 100er hat einen schnelleren Prozessor und damit mehr Durchsatz. Softwareseitig fehlen einige Funktionen. So kann die USG-50 z.B. kein Device-HA und auch kein L2TPoverIPSec-VPN (eigentlich eines Deiner Wunschfeatures). Letzteres soll aber auch für die kleinen Geräte kommen, sobald die Funktionen der größeren Geräte (mit Erscheinen von ZLD3.x) soweit aufgebohrt wurden, dass der Abstand wieder stimmt.
Bei der Bewertung des Preisunterschieds zwischen USG50 und USG100 sollte man zudem berücksichtigen, dass ab der 100er 5 Jahre Garantie mit Vorabaustausch am nächsten Werktag inklusive sind. USG20 und 50 haben nur 2 Jahre Standardgarantie.

Also wenn es eine Zywall sein soll und Du damit leben kannst, dass das Ding einen kleinen CPU-Lüfter besitzt und derzeit kein L2TP-VPN unterstützt, dann nimm lieber eine USG-20 (ohne W, dafür aber einen externen Accesspoint). Die 64MBit/s schafft das Teil. Wenn das irgendwann in der Zukunft zu wenig sein sollte, dann vertickst Du es in der Bucht für 30 bis 50% des Anschaffungspreises. Da es die USG20 bereits ab 140 EUR zu kaufen gibt, verlierst Du max. 100 EUR. Allemal besser, als jetzt ein völlig überdimensioniertes und um ein vielfaches teureres Gerät zu kaufen, dessen Mehrleistung lange Zeit ungenutzt bleibt.


Gruß
sk
sk
sk 13.03.2011 um 22:53:44 Uhr
Goto Top
Zitat von @harald21:
- AV-Durchsatz: 20 Mb/s (allerdings "file based scanning" und nicht bloß "flow based scanning" wie die
Sonicwall)

In der Theorie sollte ein filebased Scan zwar zuverlässiger und weniger leicht zu umgehen sein (zumindest wenn man das File bei Überschreiten der Dateigrößenrestriktion zerstört), aber gerade Sonicwall zeigt, dass ein gut gemachter streambased Scan (der im Übrigen auch wesentlich aufwändiger zu implementieren ist) mindestens genauso gut sein kann. Siehe z.B. http://www.networkworld.com/reviews/2007/111207-utm-firewall-test-antiv ...
Insofern überwiegen beim filebased Scan nur noch die Nachteile wie Filegrößenrestriktion und lausige Performence.
Nein, das Thema AV-Scan ist m.E. gerade _kein_ Argument pro Fortigate! Fortis Stärke ist zweifelsohne der hardwarebeschleunigte Stateful-Durchsatz. Aber das ist nunmal nicht alles...

Gruß
sk
kowa1981
kowa1981 13.03.2011 um 23:16:55 Uhr
Goto Top
Erst einmal vielen vielen Dank das du dir die Zeit nimmst mir so ausführlich zu schreiben.

Also ne richtige Firewall sollte es schon sein da ich eine drei stufige Firewalltopologie aufgebaut habe und das so bleiben soll. Also Begrenzungsrouter-Sonicwall-TMG

Mit Telnet abschalten meinte ich den Zugang auf die FW. Weil ich damals gelernt hab "Telnet und FW ist das größte Sicherheitsproblem überhaupt".

Zum Thema 50 vs 100. Sorry hatte mich verschrieben. meinte 50 vs 200. Die 200 hat zwei RPs mehr und 256mb Ram.
Wobei ich immer noch nicht verstanden habe wofür der Flashspeicher und Ram gut sein sollen.


Ich hab mich wegen den zywalls nochmal eingelesen und hab schon paar Anfragen an meine Händler gestellt.

Ein Angebot ist schon sehr verlockend.
Zyxel USG 200 inkl. AV für ein Jahr für 500euro inkl. .

Im moment sprechen mich die Zyxel schon sehr an.
Der Preis ist super und der Funktionsumfang ist echt klasse.

Die Sache ist halt die. Wenn ich diverse Konstellationen ausprobieren möchte dann wäre es schon gut wenn meine Geräte mich dann nicht einschränken.

500euro sind zwar deutlich mehr als geplant aber das was ich dafür bekomme ist schon klasse.
Ich stell mir lieber etwas hin was Oversized ist als mich nur rumzuärgern.
Ich hab ja mit der tz 180 schon rumgeknausert. Hätte ich mir direkt eine TZ210 gekauft hätte ich mir die Zeit sparen können.

Ans Virtualisieren hatte ich auch schon gedacht allerdings ist mir eine dedizierte FW lieber weil ich nicht weiss was sich hier noch in den nächsten Monaten noch verändert. Mit der normalen dedizierte FW bin ich da etwas Flexibler.

Ich werd mich noch ein wenig umschauen aber die USG 200 hats mir schon sehr angetan.

Gruß Christof
kowa1981
kowa1981 13.03.2011 um 23:23:10 Uhr
Goto Top
Vielen Dank Harald!

Ich hab mir die mal angeguckt allerdings Preislich schon ne schüppe mehr als geplant.
Wobei der Funktionsumfang auch nicht grad ohne ist.

Hast du Erfarung mit Fortinet Produkten?
Wie ist der Support und die Software/Firmware Versorgung allgemein?

Gruß Christof
sk
sk 14.03.2011 um 00:38:56 Uhr
Goto Top
Zitat von @kowa1981:
Also ne richtige Firewall sollte es schon sein da ich eine drei stufige Firewalltopologie aufgebaut habe und das so bleiben soll.
Also Begrenzungsrouter-Sonicwall-TMG

Sofern der Borderrouter nattet, würde ich diesen in Hinblick auf die Implementierung von VPN einsparen.


Zitat von @kowa1981:
Mit Telnet abschalten meinte ich den Zugang auf die FW. Weil ich damals gelernt hab "Telnet und FW ist das größte
Sicherheitsproblem überhaupt".

Seltsame Aussage. Den admistrativen Zugriff - egal ob CLI, WebGUI, SNMP etc. - sollte man natürlich nur von vertrauenswürdigen Stationen aus erlauben und möglichst verschlüsselte Protokolle verwenden. Der Zugriff per Telnet ist auf der USG per Default deaktiviert. Zulässig ist u.a. SSH, aber das auch nur vom LAN aus.


Zum Thema 50 vs 100. Sorry hatte mich verschrieben. meinte 50 vs 200. Die 200 hat zwei RPs mehr

Kann mir nicht erklären, was das sein soll. Quelle?


Wobei ich immer noch nicht verstanden habe wofür der Flashspeicher und Ram gut sein sollen.

Flash ist nichtflüchtiger Speicher. Hier sind das Firmwareimage, die Signaturen und die startup-config gespeichert. Wenn das Gerät startet wird alles in den RAM geladen.


Ich hab mich wegen den zywalls nochmal eingelesen und hab schon paar Anfragen an meine Händler gestellt.
Ein Angebot ist schon sehr verlockend. Zyxel USG 200 inkl. AV für ein Jahr für 500euro inkl. .

Incl. Merkelsteuer? Das wäre ein Kampfpreis.
Wobei die AV-Lizenz für Dich uninteressant sein sollte, denn das reisst den Durchsatz auf um die 30MBit/s runter. Welche Engine wäre es denn? Die Zyxel-Engine soll etwas schneller sein, als die von Kaspersky.
Viel bringt es aber ohnehin nicht und man lernt auch nichts dabei.
Wenn Du die Wahl hast, dann nimm zum Spielen/Lernen besser die IDP-Lizenz. Zieht auch nicht ganz so viel Durchsatz - zumindest die 64MBit/s sollten damit noch möglich sein.
3 Monate hast Du übrigens von allen Services freien Testzeitraum...


Ich werd mich noch ein wenig umschauen aber die USG 200 hats mir schon sehr angetan.

Es gibt übrigens von allen bisher genannten "Kandidaten" Livedemos der WebGUI im Netz:

https://www.fortigate.com/login (demo/fortigate)
http://livedemo.sonicwall.com/livedemo.html
https://demo.zywall.zyxel.com (demo/demouser)


Gruß
sk
harald21
harald21 14.03.2011 um 10:24:48 Uhr
Goto Top
Hallo,

@..sk.. : bei neueren Fortigate Firmware kann man auch auf "flow based scanning" umschalten (obwohl ich das nicht empfehlen würde).

@kowa1981 : wir sind Fortinet Partner und haben bei unseren Kunden weit über hundert Fortigates verschiedener Größe im Einsatz. Die Erfahrungen sind dabei durchaus positiv.

Fortigates werden üblicherweise mit einem Support-Bundle vertrieben (Firmware-Updates, AV- und IDS-Updates, etc.).
Der offizielle Support ist nicht berauschend, das inoffizielle Forum ist da wesentlich besser.
Neue Firmware gibt es etwa alle 2 Monate, wobei die FG-60C eine ganz neue Architektur darstellt (SoC auf Risk-Basis), während alle anderen Geräte auf x86-compatiblen CPU's basieren, insofern ist hier die Firmware-Versorgung noch nicht optimal (das wird sich aber sicherlich kurzfristig vernessern).

mfg
Harald
kowa1981
kowa1981 14.03.2011 um 11:37:53 Uhr
Goto Top
Vielen Dank Harald

Was würde die FG-60c inkl ids für ein jahr und mwst ungefähr kosten?
Da lieg ich doch sicherlich wieder über 1000Euro wenn ich richtig geguckt habe.

Gruß
Christof
kowa1981
kowa1981 14.03.2011 um 11:50:37 Uhr
Goto Top
Vielen Dank für die Links Sk.

Mit welchen Information muss ich mich bei fortigate und zyxel einloggen?
Der Link zur Sonicwall geht bei mir hier nicht. Wird wohl hier irgendwas blocken.
Werd nachher wenn ich zuhause bin da mal reinschauen.

Übrigens sind die 500euro inkl mwst allerdings nur mit av. alles andere würde mich bedeutend teuerer kommen.
Welche AV weiß ich allerdings nicht. Wird wohl die Zyxel Engine sein.
Meine jetzige Sonicwall wäre auch schon verkauft wenn ich die Zyxel nehmen würde.
Würde quasi für die Zyxel nur 430euro zahlen.

Die USG200 kann noch folgende RPs. IGMPv2, IGMP.
sk
sk 14.03.2011 um 12:28:43 Uhr
Goto Top
Zitat von @kowa1981:
Mit welchen Information muss ich mich bei fortigate und zyxel einloggen?

In Klammern stehen Benutzername und Kennwort. face-wink


Zitat von @kowa1981:
Übrigens sind die 500euro inkl mwst allerdings nur mit av. alles andere würde mich bedeutend teuerer kommen.

Das ist eine Ansage! Bei den meisten e-Tailern kosten die Boxen um die 600 EUR (ohne AV-Lizenz).


Zitat von @kowa1981:
Die USG200 kann noch folgende RPs. IGMPv2, IGMP.

Das sind keine Routingsprotokolle. Hierbei geht es um Multicasting. Wobei das m.E. ein Fehler im Datenblatt ist. M.W. können die ZLD-Boxen (noch) kein IGMP - zumindest habe ich noch keine Möglichkeit gefunden, dies zu konfigurieren.


Gruß
sk
sk
sk 14.03.2011 um 12:38:53 Uhr
Goto Top
Bedenke, dass die FG-60c z.T. Deinen Anforderungskatalog nicht erfüllt. Der angegebene FW-Durchsatz ist der (theoretische) Gesamtdurchsatz. Das System hat aber nur 100er Interfaces...
Die Fortis sind beileibe nicht schlecht, aber wenn Du in diese Preisregionen gehst, hast Du auch wiederum mehr Auswahl beim Mitbewerb. Juniper zum Beispiel. Aber auch die TZ210N kommt dann wieder in Betracht und die erfüllt Deinen ursprünglichen Anforderungskatalog m.E. am besten.

Gruß
sk
kowa1981
kowa1981 14.03.2011 um 13:48:33 Uhr
Goto Top
Benutzername Kennwort face-wink naja manchmal sieht man den Wald vor lauter Bäumen nicht mehr... face-wink

IGMPV2 ist doch ein Multicast Routingprotokoll oder hab ich da was falsches gelernt?

Riesen Dank nochmals für die Demolinks.
Sind echt klasse. Also wenn ich ehrlich bin gefällt mir das der Fortgate auf den ersten Blick mehr als das der Zyxel allerdings wohl auch nur weil es an die Sonicwall angelehnt ist.

Ich denke ich werd mir die Zyxel für 500euro nehmen.
Der Preis ist top und die sollte erstmal die nächsten Jahre reichen.
Ich hoffe nur das Teil läuft auch unter last stabil wie die Sonicwall.

Gruß
Christof
kowa1981
kowa1981 14.03.2011 um 13:51:12 Uhr
Goto Top
Ok dann hat sich das schon erledigt. Dann wirds zu 99% die Zyxel usg 200.

Ich hab noch paar Anfragen offen aber ich geh mal stark davon aus das ich keine TZ210N für 600Euro bekomme.
Und die Zyxel werd ich sicherlich auch nicht "noch günstiger" bekommen.
Von daher geh ich mal von aus das ich das Angebot annehmen werde.
sk
sk 14.03.2011 um 18:02:21 Uhr
Goto Top
Zitat von @kowa1981:
IGMPV2 ist doch ein Multicast Routingprotokoll oder hab ich da was falsches gelernt?

M.W. signalisiert eine Station per IGMP, dass sie in eine Multicastgruppe eintreten oder aus dieser wieder abgemeldet werden will. Unter einem Routingprotokoll verstehe ich etwas anderes. Nämlich, dass sich Router über die Erreichbarkeit von Zielen verständigen - also Wegefindung (optimaler Pfad, Alternativpfade, "Kosten" etc.). Für Multicast-Ziele gibt es entsprechend angepasste Protokolle wie MOSPF.


Riesen Dank nochmals für die Demolinks.
Sind echt klasse. Also wenn ich ehrlich bin gefällt mir das der Fortgate auf den ersten Blick mehr als das der Zyxel
allerdings wohl auch nur weil es an die Sonicwall angelehnt ist.

Die kupfern alle gegenseitig voneinander ab. Bis vor kurzem ähnelte die Menüstruktur der Zywall auch noch stärker der Sonicwall oder der Fortigate. Mit ZLD2.2x hat man auf das ExtJS-Framework umgestellt. Juniper verwendet das auch bei der SRX-Reihe. Da hat sich Zyxel scheinbar auch die unsinnige Unterteilung in die vier Hauptreiter am linken Rand abgeschaut.


Ich denke ich werd mir die Zyxel für 500euro nehmen.
Der Preis ist top und die sollte erstmal die nächsten Jahre reichen.
Ich hoffe nur das Teil läuft auch unter last stabil wie die Sonicwall.

Wir haben rund 20 USG-300 im Einsatz und die laufen unter meinen Einsatzbedingungen sehr stabil. Ansonsten haben wir noch NSA3500 und Cisco ASA. Im unteren Preissegment bietet Zyxel m.E. deutlich mehr fürs Geld. Nach oben kann Zyxel aber mit den anderen nicht mithalten. You get what you pay for - das sollte man nicht vergessen und deshalb seine eigenen Anforderungen genau analysieren und im Blick behalten.


Gruß
sk
harald21
harald21 15.03.2011 um 08:14:50 Uhr
Goto Top
Hallo ..sk..,

da hast du nur teilweise recht:
1. wan1, wan2 und dmz sind 100er Interfaces,
2. Der interne Switch hat 1000er Interfaces. Da sich die Switchports separat betreiben lassen, bzw. da man ja auch noch VLAN's benutzen kann stehen an der FG60C mehrere Gb-Ports zur Verfügung. Die Bezeichnungen der Ports dienen nur zur Identifizierung und können frei nach Belieben genutz werden (z.B. eine DMZ an einen "internal" Port).
3. Die angegebenen Geschwindigkeiten sind nicht nur theoretische Werte, sondern werden dank Hardware-Beschleunigung (FortiASIC) auch in der Praxis erreicht.

@kowa1981: Unser Vertrieb hat mir inzwischen mal einen Kampfpreis genannt, wenn du noch Interesse hast, so melde dich einfach per PN bei mir.
Evtl. gibt es dann noch die Möglichkeit einer Teststellung. face-smile

mfg
Harald
kowa1981
kowa1981 25.03.2011 um 10:11:37 Uhr
Goto Top
hallo harald,

erst einmal sorry das ich mich jetzt erst melde.
Hab seit heute den MCITP EA in der Tasche und musste die letzten Tage intensiv lernen.
Vielen Dank für das Angebot. Ich meld mich im laufe der nächsten Woche bei dir per PN.


EDIT:

Hat sich erledigt.
Ich hab mir jetzt die USG 200 bestellt.


Vielen Dank nochmals für die Hilfestellung!!!