UTM Lösung für einen kleinen Pharma Betrieb
Hallo zusammen,
ich bin damit beauftragt wurden für unser Unternehmen ca. 100 Clients eine passende UTM Lösung zu finden. Zurzeit setzen wir eine Collax Security Gateway ein.
Anforderungen:
- Bereitsstellung VDSL 50 Mbit
- Unternehmensweite Firewall
- ca. 10-20 VPN Tunnel
- Email Abruf + Zustellung an den Exchangeserver (120 Emailadressen)
- SPAM Filter
- Virenschutz
- Web Content Filter (SSO) ,mit unterschiedlichen Berechtigungsstufen für Webseiten (Azubi, Abteilungsleister,GL etc.)
- Proxy
- Support der auch erreichbar ist. Gegebenfalls über Supportvertrag oder via Dienstleistungsstunden einkaufen.
Wir haben ca. 50 Terminalserver User und 50 Arbeitssplätze. Als Virenschutz setzen wir Kaspersky Endpoint Security und auf dem Exchangeserver Kaspersky Security for Mail ein.
Bisher anbieten lassen habe ich mir folgendes:
- Collax Security Gateway erweiterung für Web Content Filter
- Sonicwall NSA 3600
- Sonicwall TZ 600
- Securepoint v11 RC300
Leider habe ich hier im Forum bisher nicht so gutes über die Securepoint UTM Lösung lesen können. Preislich gesehen machen die aber einen guten Eindruck. Denn bei denen ist angeblich Web Content Filter, Virenschutz für Mail, Web, File und SPAM Filter + VPN Client alles inklusive.
Sophos wollte ich mir ebenfalls anbieten lassen, aber nachdem ich dort dreimal angerufen habe und die es nicht hinbekommen haben mir einen Fachhändler zuzuweisen, hatte ich die schnauze voll...
ich bin damit beauftragt wurden für unser Unternehmen ca. 100 Clients eine passende UTM Lösung zu finden. Zurzeit setzen wir eine Collax Security Gateway ein.
Anforderungen:
- Bereitsstellung VDSL 50 Mbit
- Unternehmensweite Firewall
- ca. 10-20 VPN Tunnel
- Email Abruf + Zustellung an den Exchangeserver (120 Emailadressen)
- SPAM Filter
- Virenschutz
- Web Content Filter (SSO) ,mit unterschiedlichen Berechtigungsstufen für Webseiten (Azubi, Abteilungsleister,GL etc.)
- Proxy
- Support der auch erreichbar ist. Gegebenfalls über Supportvertrag oder via Dienstleistungsstunden einkaufen.
Wir haben ca. 50 Terminalserver User und 50 Arbeitssplätze. Als Virenschutz setzen wir Kaspersky Endpoint Security und auf dem Exchangeserver Kaspersky Security for Mail ein.
Bisher anbieten lassen habe ich mir folgendes:
- Collax Security Gateway erweiterung für Web Content Filter
- Sonicwall NSA 3600
- Sonicwall TZ 600
- Securepoint v11 RC300
Leider habe ich hier im Forum bisher nicht so gutes über die Securepoint UTM Lösung lesen können. Preislich gesehen machen die aber einen guten Eindruck. Denn bei denen ist angeblich Web Content Filter, Virenschutz für Mail, Web, File und SPAM Filter + VPN Client alles inklusive.
Sophos wollte ich mir ebenfalls anbieten lassen, aber nachdem ich dort dreimal angerufen habe und die es nicht hinbekommen haben mir einen Fachhändler zuzuweisen, hatte ich die schnauze voll...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303252
Url: https://administrator.de/forum/utm-loesung-fuer-einen-kleinen-pharma-betrieb-303252.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
oder sogar Hardware Hersteller die benutzt werden sollen bzw. müssen oder gar gewisse
Kriterien erfüllen müssen wie zum Beispiel eine ICSA 1 oder ISCSA 2 Prüfung ect. pp?
Fertiggeräte:
Sophos UTM
Netgear UTM 150
PaloAlto NG Firewall
Eigenbau:
Untangle UTM auf potenter Hardware
Sophos UTM auf potenter Hardware
ClearOS auf potenter Hardware
Mein Tipp dazu kauf eine UTM Lösung die einen anderen AV Schutz hat als Kaspersky den Ihr ja
schon einsetzt, dann ist da schon mal ein Zweiaugenprinzip vorhanden. und dann eben was man
bezahlen kann und was den erforderlichen Durchsatz liefert.
Gruß
Dobby
Und somit habe ich als "leid geplagter" Admin nach Feierabend auch Feierabend.
Sind bei Euch seitens des Unternehmens Vorschriften die dazu beachtet werden sollenoder sogar Hardware Hersteller die benutzt werden sollen bzw. müssen oder gar gewisse
Kriterien erfüllen müssen wie zum Beispiel eine ICSA 1 oder ISCSA 2 Prüfung ect. pp?
Fertiggeräte:
Sophos UTM
Netgear UTM 150
PaloAlto NG Firewall
Eigenbau:
Untangle UTM auf potenter Hardware
Sophos UTM auf potenter Hardware
ClearOS auf potenter Hardware
Mein Tipp dazu kauf eine UTM Lösung die einen anderen AV Schutz hat als Kaspersky den Ihr ja
schon einsetzt, dann ist da schon mal ein Zweiaugenprinzip vorhanden. und dann eben was man
bezahlen kann und was den erforderlichen Durchsatz liefert.
Gruß
Dobby
Hallo,
eine Nachfrage:
Wie ist damit gemeint?
Werden euch die Mails per SMTP zugestellt oder holt ihr die per POP3 bei irgendeinem Provider ab?
Zum Exchange wäre dann auch noch die Frage ob auf den Zugriff von extern (ActiveSync, OWA, AnyConnect) stattfinden soll.
Und habt ihr irgendwelche Compliance-Vorschriften?
Gruß
eine Nachfrage:
- Email Abruf + Zustellung an den Exchangeserver (120 Emailadressen)
Wie ist damit gemeint?
Werden euch die Mails per SMTP zugestellt oder holt ihr die per POP3 bei irgendeinem Provider ab?
Zum Exchange wäre dann auch noch die Frage ob auf den Zugriff von extern (ActiveSync, OWA, AnyConnect) stattfinden soll.
Und habt ihr irgendwelche Compliance-Vorschriften?
Gruß
Gut, ein SMTP-Filter (Viren, Spam) ist bei UTMs Standard. Schön ist auch ein Mime-Type Filter, mit dem man z.B. Office-Dokumente mit Macros rausfiltern kann. Ebenso muss sie natürlich heutzutage TLS-Verschlüsselung können.
Für den Zugriff auf Exchange von außen wäre auch ein Reverse-Proxy gut. Also nicht einfach eine Portweiterleitung. Zwar geht das auch und aktuelle Exchange-Versionen sind da auch etwas "standhafter", aber das würde noch zusätzliche Sicherheit reinbringen.
Ich persönlich würde da doch zu einer Sophos UTM tendieren. Alternativ zur neuen Sophos XG, wobei ich persönlich mit dem neuen Interface noch nicht so richtig warm bin. Aber wenn man noch nicht "vorbelastet" ist...
Mit Securepoint haben wir eigentlich keine guten Erfahrungen mit den Mail und Webfiltern. Die können das zwar schon, aber die Einstellungsmöglichkeiten sind (waren) doch eher rudimentär im Vergleich zu Sophos.
Für den Zugriff auf Exchange von außen wäre auch ein Reverse-Proxy gut. Also nicht einfach eine Portweiterleitung. Zwar geht das auch und aktuelle Exchange-Versionen sind da auch etwas "standhafter", aber das würde noch zusätzliche Sicherheit reinbringen.
Ich persönlich würde da doch zu einer Sophos UTM tendieren. Alternativ zur neuen Sophos XG, wobei ich persönlich mit dem neuen Interface noch nicht so richtig warm bin. Aber wenn man noch nicht "vorbelastet" ist...
Mit Securepoint haben wir eigentlich keine guten Erfahrungen mit den Mail und Webfiltern. Die können das zwar schon, aber die Einstellungsmöglichkeiten sind (waren) doch eher rudimentär im Vergleich zu Sophos.
Moin,
ich kann dir zu einer Sophos UTM oder einer Barracuda NG-F raten!
Beide Systeme haben mich bei meiner Auswahl wesentlich mehr überzeugt als die Securepoint (sieht aus wie vor 10 Jahren).
Die Barracuda kann man von den Funktionen wirklich als "Next Generation" bezeichnen.
Was hast du denn für einen preislichen Rahmen?
VG
Val
ich kann dir zu einer Sophos UTM oder einer Barracuda NG-F raten!
Beide Systeme haben mich bei meiner Auswahl wesentlich mehr überzeugt als die Securepoint (sieht aus wie vor 10 Jahren).
Die Barracuda kann man von den Funktionen wirklich als "Next Generation" bezeichnen.
Was hast du denn für einen preislichen Rahmen?
VG
Val
Hi,
wir haben von Sophos die UTM im Einsatz.
Für uns (50 Client-Arbeitsplätze, 1 S2S VPN, sporadische SSL-VPNs, Exchange 2010, ...) die SG230.
Da ihr mehr VPNs habt, wäre eine SG310/ SG330 denkbar.
Die Kiste läuft bei uns im Active/Passive HA und für 3 Jahre haben wir jetzt glaube ich 8k € bezahlt, inkl. 2x Hardware.
Sophos baut derweil auch an einer XG Firewall, haben aber noch nicht alle Features der UTM p.x/ UTM9.4 implementiert. Beide Systeme werden parallel entwickelt, nicht immer werden aber die Features der einen Version in die andere übernommen... -.-
Die Sophos rennt eigentlich optimal...
Vllt. kannst du ja gezielt nach Sophos-Partnern in deiner Region suchen...
Gruß em-pie
wir haben von Sophos die UTM im Einsatz.
Für uns (50 Client-Arbeitsplätze, 1 S2S VPN, sporadische SSL-VPNs, Exchange 2010, ...) die SG230.
Da ihr mehr VPNs habt, wäre eine SG310/ SG330 denkbar.
Die Kiste läuft bei uns im Active/Passive HA und für 3 Jahre haben wir jetzt glaube ich 8k € bezahlt, inkl. 2x Hardware.
Sophos baut derweil auch an einer XG Firewall, haben aber noch nicht alle Features der UTM p.x/ UTM9.4 implementiert. Beide Systeme werden parallel entwickelt, nicht immer werden aber die Features der einen Version in die andere übernommen... -.-
Die Sophos rennt eigentlich optimal...
Vllt. kannst du ja gezielt nach Sophos-Partnern in deiner Region suchen...
Gruß em-pie
Moin Moin,
ich kenne die Securepoint etwas näher, setze die auch gerne bei Kunden ein.
Das ist ein deutscher Hersteller, die eng mit Wortmann Terra zusammen arbeiten. Die HW-Basis kommt also von Wortmann. Der Support vom Hersteller ist sehr gut, bei Bedarf (z.B. als Locky kursierte) sind die auch sehr flexibel und geben gute Hinweise zur Konfig der Firewall raus.
Viren werden von 2 Scan-Engines verarztet (ClamAV und Cyren), die Zustellung zum internen Mailserver kann entweder per SMTP-Proxy erfolgen oder die Securepoint holt Mails per POP3 vom Provider (eher für kleinere Unternehmen)
Contenfilter, Jugendschutz, etc machen meines Wissens nach alle Hersteller so ziemlich das gleiche. BPJM-Modul ist auf jeden Fall integriert. Der kostenlose SSL-VPN-Client kann z.B. per Web-Interface den Usern zur Verfügung gestellt werden, dann bekommen die fertig konfigurierte Pakete geliefert. ( Für VPN-Zugänge empfehle ich auch gerne die OneTimePasswort-Tokens)
Achja, Leihstellungen sind kein Problem, würd ich mir einfach mal kommen lassen.
Gruß
Bernhard
ich kenne die Securepoint etwas näher, setze die auch gerne bei Kunden ein.
Das ist ein deutscher Hersteller, die eng mit Wortmann Terra zusammen arbeiten. Die HW-Basis kommt also von Wortmann. Der Support vom Hersteller ist sehr gut, bei Bedarf (z.B. als Locky kursierte) sind die auch sehr flexibel und geben gute Hinweise zur Konfig der Firewall raus.
Viren werden von 2 Scan-Engines verarztet (ClamAV und Cyren), die Zustellung zum internen Mailserver kann entweder per SMTP-Proxy erfolgen oder die Securepoint holt Mails per POP3 vom Provider (eher für kleinere Unternehmen)
Contenfilter, Jugendschutz, etc machen meines Wissens nach alle Hersteller so ziemlich das gleiche. BPJM-Modul ist auf jeden Fall integriert. Der kostenlose SSL-VPN-Client kann z.B. per Web-Interface den Usern zur Verfügung gestellt werden, dann bekommen die fertig konfigurierte Pakete geliefert. ( Für VPN-Zugänge empfehle ich auch gerne die OneTimePasswort-Tokens)
Achja, Leihstellungen sind kein Problem, würd ich mir einfach mal kommen lassen.
Gruß
Bernhard
Moin,
warum du jetzt die Antwort für Securepoint als Lösung markiert hast verstehe ich nicht ganz aber gut...
Ebensowenig wieso man hier eine SG310 empfiehlt, bei einer 50Mbit Leitung absolut übertrieben!
Da reicht eine SG125 locker aus, egal wie viel VPN Tunnel dort dran hängen. Die Leitung limitiert immer vor dem Gerät!
Preislich liegt so eine SG125 im Total Protect Bundle für 3 Jahre übrigens bei ca. 2000€.
Nur noch so als Tipp:
Die Geräte von Gateprotect, Sophos und Barracuda liegen von den Funktionen her deutlich über den Securepoint Lösungen.
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.
Beispielhaft mal ein paar Vorteile der Mitbewerber:
Außerdem war das Lizenzmodell für uns total unattraktiv. Man kauft die Hardware und Lizenziert die Software nach Usern, dadurch war das Komplettpaket um einiges teurer als Sophos oder Barracuda.
VG
Val
warum du jetzt die Antwort für Securepoint als Lösung markiert hast verstehe ich nicht ganz aber gut...
Ebensowenig wieso man hier eine SG310 empfiehlt, bei einer 50Mbit Leitung absolut übertrieben!
Da reicht eine SG125 locker aus, egal wie viel VPN Tunnel dort dran hängen. Die Leitung limitiert immer vor dem Gerät!
Preislich liegt so eine SG125 im Total Protect Bundle für 3 Jahre übrigens bei ca. 2000€.
Nur noch so als Tipp:
Die Geräte von Gateprotect, Sophos und Barracuda liegen von den Funktionen her deutlich über den Securepoint Lösungen.
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.
Beispielhaft mal ein paar Vorteile der Mitbewerber:
- GeoIP-Filter
- LACP (nur Barracuda oder Sophos XG)
- Application Detection
Außerdem war das Lizenzmodell für uns total unattraktiv. Man kauft die Hardware und Lizenziert die Software nach Usern, dadurch war das Komplettpaket um einiges teurer als Sophos oder Barracuda.
VG
Val
Hi Val,
würde ich gerne unterschreiben, ist aber nicht so. Ich habe hier einen Dual 2Mbit Anschluss (danke Breitbandausbau), eine solche Sophos in die Knie bekommen. Gut, intern laufen auch einige Dienste und ein paar APs. Außerdem kauft man eine Sophos UTM schliesslich nicht auf ein Jahr und in 2 Jahren will man die neuen Features auch noch nutzen.
Viele Grüße,
Christian
würde ich gerne unterschreiben, ist aber nicht so. Ich habe hier einen Dual 2Mbit Anschluss (danke Breitbandausbau), eine solche Sophos in die Knie bekommen. Gut, intern laufen auch einige Dienste und ein paar APs. Außerdem kauft man eine Sophos UTM schliesslich nicht auf ein Jahr und in 2 Jahren will man die neuen Features auch noch nutzen.
Viele Grüße,
Christian
Stimme Christian ebenfalls zu.
Als wir damals unsere (zu dem Zeitpunkt noch ASG 220) erhalten haben, war diese völlig performant. Im Laufe der Zeit sorgten die neuen Releases aber dafür, dass die ganze Kiste einfach träge wurde, wenn sie sich Updates gezogen hat. Das ging sogar soweit, dass für 10 Minuten kein Web und SMTP-Traffic möglich war. WObei sich später rausstellte, dass der IO für die HDDs nicht optimal war, es aber ein Softwareseitiges Problem ist, welches nicht nur wir haben/ hatten.
Mit dem Nachfolgemodell, der SG230 läuft die UTM, selber Releasestand, wieder optimal und schnurrt wie ein Kätzchen.
Was die Feutres angeht. Es bleiben nahezu keinerlei Wünsche offen.
Kann mir aber kein Bild über andere Hersteller machen, da ich so selten an anderen Systemen arbeite.
Als wir damals unsere (zu dem Zeitpunkt noch ASG 220) erhalten haben, war diese völlig performant. Im Laufe der Zeit sorgten die neuen Releases aber dafür, dass die ganze Kiste einfach träge wurde, wenn sie sich Updates gezogen hat. Das ging sogar soweit, dass für 10 Minuten kein Web und SMTP-Traffic möglich war. WObei sich später rausstellte, dass der IO für die HDDs nicht optimal war, es aber ein Softwareseitiges Problem ist, welches nicht nur wir haben/ hatten.
Mit dem Nachfolgemodell, der SG230 läuft die UTM, selber Releasestand, wieder optimal und schnurrt wie ein Kätzchen.
Was die Feutres angeht. Es bleiben nahezu keinerlei Wünsche offen.
Kann mir aber kein Bild über andere Hersteller machen, da ich so selten an anderen Systemen arbeite.
Ok danke euch beiden für die Info.
Wir hatten damals eine SG135 zum testen bekommen und konnten diese mit 50 Leuten und einer 50Mbit synchronen Leitung nicht mal ansatzweise auslasten. Die Firewall war dabei jedoch nur für den externen Zugriff zuständig, die interne Kommunikation lief komplett über L3 Switches.
Den Punkt mit den Updates welche die Geräte extrem verlangsamen hör ich zum ersten mal, dann wäre doch eine SG210 oder SG230 sinnvoller und sollten preislich ähnlich wie die Securepoint Geräte liegen.
VG
Val
Wir hatten damals eine SG135 zum testen bekommen und konnten diese mit 50 Leuten und einer 50Mbit synchronen Leitung nicht mal ansatzweise auslasten. Die Firewall war dabei jedoch nur für den externen Zugriff zuständig, die interne Kommunikation lief komplett über L3 Switches.
Den Punkt mit den Updates welche die Geräte extrem verlangsamen hör ich zum ersten mal, dann wäre doch eine SG210 oder SG230 sinnvoller und sollten preislich ähnlich wie die Securepoint Geräte liegen.
VG
Val
Valexus, bitte beachte die Diskrepanz zwischen Test und Dauerlauf. Dann hast du noch die ATP an und WebAppFW usw usf und schon hast den Ram und die CDU dicht.
Das kann man nicht so einfach sagen, wie es so schön heisst "it depends".
SecurePoint ist aber eben nicht so umfangreich wie Sophos - meiner Meinung nach.
@updates: Nun, kein Wunder mit 9.0, 9.3 und jetzt 9.4 wurden einige richtig gute Features erweitert oder ergänzt. Die brauchen Leistung im Dauerlauf.
Bei Bedarf, gerne an mich wenden.
VG,
Christian
Das kann man nicht so einfach sagen, wie es so schön heisst "it depends".
SecurePoint ist aber eben nicht so umfangreich wie Sophos - meiner Meinung nach.
@updates: Nun, kein Wunder mit 9.0, 9.3 und jetzt 9.4 wurden einige richtig gute Features erweitert oder ergänzt. Die brauchen Leistung im Dauerlauf.
Bei Bedarf, gerne an mich wenden.
VG,
Christian
Zitat von @119944:
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.
Ich war bei meinem Tests teilweise richtig erschrocken was Securepoint dort im Vergleich zum Wettbewerb 2016 an Software auf seinen Geräten mitliefert. Bestimmte Funktionen lassen sich z.B. nur an oder ausschalten und nicht speziell konfigurieren (z.B. QoS oder IDS/IPS), andere Funktionen fehlen einfach komplett.
Naja.. vielleicht schaust Du Dir die Geräte einfach noch ein zweites Mal an bevor Du sowas schreibst. Weil natürlich kann man das nicht nur an- und abschalten. Wär auch etwas sinnfrei, wenn man QoS ohne Konfiguration nur aktivieren könnte.
Ja. LACP wär hübsch, GeoIP hab ich ehrlich gesagt an der Stelle noch nie vermisst. (im übrigen wäre Securepoint an der Stelle relativ flexibel was feature-requests angeht)
Gruß
Bernhard
Hallo @obliterator,
ich will ja nicht alte Kamellen aufwärmen.
Bin gerade "zufällig" über den Thread gestolpert ...
... und wundere mich gerade warum niemand Fortinet erwähnt hat?!
Würde Fortinet mit Sophos auf eine Ebene stellen, wobei Fortinet preislich um einiges interessanter ist.
Ich weiß ja nicht wie weit du nun bist, aber ein Input kann ja nicht schaden.
Gruß
@kontext
ich will ja nicht alte Kamellen aufwärmen.
Bin gerade "zufällig" über den Thread gestolpert ...
... und wundere mich gerade warum niemand Fortinet erwähnt hat?!
Würde Fortinet mit Sophos auf eine Ebene stellen, wobei Fortinet preislich um einiges interessanter ist.
Ich weiß ja nicht wie weit du nun bist, aber ein Input kann ja nicht schaden.
Gruß
@kontext