cyberurmel
Goto Top

Welche Firewall ?

Hi @ all,

bräuchte mal wieder Euren fachmännischen Rat / Tipp.

Es soll eine neue Firewall mit 10G Interface implementiert werden. Bisher Checkpoint
In diesem Zuge sollen auch andere Hersteller ggfs in Betracht kommen

Welche sind da zu empfehlen und auf was muss man achten (Preis, Durchsatz, ...?)
Bin da noch gar nicht drin in der Materie (nein ich muss es nicht entscheiden.. würde aber die pro oder contras wissen unvoreingenommen)

Höchste Prio liegt auf Sicherheit / Schnelle Updates / Patches etc. . für ca 2000 Mitarbeiter.


Danke
Greets
Cyb

Content-ID: 341213

Url: https://administrator.de/forum/welche-firewall-341213.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

Dani
Dani 21.06.2017 um 11:45:40 Uhr
Goto Top
Moin Cyb,
deine Frage ist so ungenau formuliert, dass die ersten 5-6 Kommentare alle gängigen Hersteller beinhalten werden. Aber es wird wie immer an einigen oder vielen Details scheitern oder Falten auf die Stirn zaubern.

Ich schlage erstmal vor, dass du unsere Suchfunktion nutzt. Da gibt es unzählige, aktive Fragen zu dem Thema. Danach deine Frage ergänzt und dann bin ich der letzte wo dir nicht unter die Arme greifen wird.


Gruß,
Dani
freeker
freeker 21.06.2017 um 12:17:58 Uhr
Goto Top
Hallo Urmel,
Dein Problem kenne ich nicht, aber schau dir mal das an:
VerboseStatus
Funktioniert auch unter Win10 und gibt dir beim Anmelden evtl einen Hinweis was so lange dauert.
Cyberurmel
Cyberurmel 21.06.2017 um 12:20:35 Uhr
Goto Top
??
Anderer Thread?
SamvanRatt
SamvanRatt 21.06.2017 um 12:21:02 Uhr
Goto Top
Hallo Cyb
ich habe eine pfSense basierende Netgate 2758 im Einsatz (Single Version; es gibt auch die Duale Version zwecks Failover/LoadBalancing). Durchsatz ist selbst bei rein 120* VPN (AES128) über 2,4GBit/s inkl 16 FW Regeln.
Ordentliche x86 Hardware, Bootsystem als RAID1 SSD; Preislich im 2500EUR Bereich und Service kannst du dir vgl. Cisco dazukaufen wie gewünscht inkl. 24/7 Support.
Dank BSD ordentlich sicher und mit Netgate als Provider auch recht schnell in den Patchlösungen. Nettes Ticketsystem und Reaktionen waren immer innerhalb 6h (bei dem Normalen NBD Vertrag).

Gruß
Sam
Cyberurmel
Cyberurmel 21.06.2017 um 12:24:10 Uhr
Goto Top
Jau das dachte ich mir schon face-smile
Wird wohl erst intern mich schlau machen müssen, welche Anforderungen (ausser 10G) wichtig sind .
Dachte man kann schon grob einteilen und sagen Hersteller 1 = Apotheke, 2 = super Support o.ä


Ich suche mal ..danke vorab

greets
Cyb
freeker
freeker 21.06.2017 um 12:46:20 Uhr
Goto Top
Hehe... Ja *g*
clSchak
clSchak 21.06.2017 um 12:56:05 Uhr
Goto Top
Hi

die primäre Anforderung;: 10G ... Alle Hersteller = Apotheke face-smile , 10 G ist im FW Bereich sehr teuer. Bei 2k Mitarbeitern kommt eigentlich nur eine geclusterte Lösung bzw. HA Lösung in Frage und da fallen direkt einige Hersteller raus. Um mal ein paar Hersteller zu nennen die 10G und HA Können: Fortinet, Watchguard, Cisco ....ich kenne die pfSense Appliance nicht die dürften aber preislich die interessanteste Wahl sein - sofern die HA können.

Funktionsumfang dürfte bei allen fast identisch sein, die Umsetzung ist immer unterschiedlich und die Implementierung einzelner Techniken (z.B. s2s VPN). Ich würde mir mal alle großen Hersteller ins Haus holen und dir zeigen lassen was Sie können und wie sie das umsetzen. Bei einer 10G Variante kommen die gerne auf einen Kaffee vorbei face-smile

Gruß
@clSchak
108012
108012 21.06.2017 aktualisiert um 13:01:17 Uhr
Goto Top
Hallo,

ändert sich sonst auch noch etwas anderes bzw. soll sich noch etwas anderes ändern!? Ich meine soll es eine
UTM oder gar NG-Firewall sein? Was soll die neue Firewall denn alles können außer einem 10 GbE Interface?

Es soll eine neue Firewall mit 10G Interface implementiert werden. Bisher Checkpoint
Sollen die als LAN Schnittstelle hin zur DMZ und dem LAN dienen oder gar als WAN Schnittstelle?

In diesem Zuge sollen auch andere Hersteller ggfs in Betracht kommen
- PaloAlto (NG-Firewall)
- Cisco Firepower (UTM)

Welche sind da zu empfehlen und auf was muss man achten (Preis, Durchsatz, ...?)
Am besten erst einmal schauen was denn noch an Durchsatz nach "allen" Aktionen wie IDS, AV Scann und Firewallregeln vorhanden ist.
Das passt sonst manchmal nicht so richtig zusammen mit den "Durchsätzen" wie man sie benötigt oder sie erwartet hat.
Firewall 200 MBit/s
IDS/IPS 150 MBIt/s
AV Scann 80 MBit/s

Dann würde ich mich an dem Durchsatz des AV Scanns orientieren wollen.

Gruß
Dobby


P.S.
Für pfSense zusammen mit 10 GBit/s sollte man sich das hier auch noch einmal anschauen:
Supermicro SYS-E300-8D
Supermicro SYS-E200-8D
SamvanRatt
SamvanRatt 21.06.2017 um 13:10:51 Uhr
Goto Top
Hi Dobby
die SuperMicro sehen recht ähnlich aus von der Frontbeschaltung wie die XG2758 auch schon (nur der CPU fehlt die Hälfte an Kernen).

Gruß
Sam
Deepsys
Deepsys 21.06.2017 aktualisiert um 13:13:29 Uhr
Goto Top
Hi,

also bei 2.000 User und 10G bist du schnell bei den Großen Herstellern:
- Checkpoint
- Palo Alto
- Fortinet
- Cisco
- Juniper
- Watchguard (die setzen wir ein, aber kleinere Version. Ich finde die Kisten gut)
- ....

Wenn es was deutsches sein soll: Rohde&Schwarz

Oder noch eine Idee, guck mal in den Gartner Quadranten für Firewalls

Spricht denn was gegen die Checkpoint?

VG,
Deepsys
Cyberurmel
Cyberurmel 21.06.2017 um 13:46:10 Uhr
Goto Top
Hi

danke erstmal.
Nein es spricht nichts gegen eine Checkpoint per se. Aber da es ja neues Gerät werden soll was spricht dagegen eventuell zu vergleichen was andere Hersteller anbieten und ggfs Kosten sparen oder Nutzung zu optimieren.

Allerdings ist das nicht mein Thema. Würde halt gerne backrounds verstehen um ggfs mitreden zu können .
Ich bin mir sicher einer der von dir genannten wird es wohl werden.

greets
Cyb
brammer
brammer 21.06.2017 um 13:51:33 Uhr
Goto Top
Hallo,

bei der Größenordnung sollte ihr über ein mehrstufiges Firewall Konzept nachdenken.
D.h. die Firewalls von min. 3 verschiedener Hersteller hintereinander kaskadieren.

brammer
127103
127103 21.06.2017 um 14:24:08 Uhr
Goto Top
Hello,

damit der letzte Vertreter auch noch seine berechtigte Erwähnung bekommt...

SOPHOS. In der Größenordnung Sophos XG 450. 10G natürlich, im Bereich bis 2500 User, "Sicherheit / Schnelle Updates / Patches" -hängt immer auch von der Implementierung und dem Gesamtkonstrukt ab. Preis > 20k €.

Gruß c
em-pie
em-pie 21.06.2017 um 15:41:09 Uhr
Goto Top
Moin,

ich sehe das ähnlich wie brammer:
Nehmen wir mal an, du ermittelst, dass ihr eben icht nur eine (reine) Firewall suchst, sondern diese auch einen Proxy, Spamfilter, VPN-Server, ReverseProxyEngine, ... beinhalten soll. Dann kann man a) eine UTM verwenden (Hersteller sind ja bereits genannt worden), oder aber:

Jeden Dienst als eigenes System betrachten:
Firewall (inkl. VPN) könnte eine "einfache" aber leistungsstarke Watchguard, pfSense, Lancom, ... sein.
Als Paketfilter (Web "Proxy") könnte man auf Produkte wie Squid oder Baracudas Web Security Gateway andere zurückgreifen.
Spamfilter fällt mir auch hier wieder Baracuda oder Spamassasin (gibt es das überhaupt noch?) ein..

Fällt mal eine Komponente aus oder wird kompromittiert, hat das nur beschränkte Auswirkungen.
Eine reine Firewall zu tauschen ist um einiges leichter, als eine komplette UTM.

Bei einem meiner vergangenen AGs hatten wir sogar zwei Paketfilter, einen der direkt hinter der WAN-Firewall saß (externer Paketfilter) und einer, der dann hinter der Firewall zum LAN saß (interner Paketfiler). Dazwischen wurden nach noch Devices wie Spamfilter, ISA, Citrix-Access Gateway, etc. platziert.

Gruß
em-pie
Cyberurmel
Cyberurmel 21.06.2017 um 16:35:07 Uhr
Goto Top
Hi,

danke erstmal.

Also VPN Server macht die jetzige auch und soll auch weiterhin gemacht werden. Auch Client End Verschlüsselung? Nennt man das so . Glaube de Checkpoint kann das auch machen.
Proxy ist separat am Start . Spamfilter - gehe ich mal davon aus wird auch darüber laufen.

greets
Cyb
108012
108012 21.06.2017 um 18:36:15 Uhr
Goto Top
@SamvanRatt
die SuperMicro sehen recht ähnlich aus von der Frontbeschaltung wie die XG2758
Die XG-2758 basiert auf dem Intel Atom C2758 SoC und die beiden oben genannten Supermicro Barebones kommen auch
gleich mit 10 GbE oder SFP+ Interface, basieren aber auf dem Intel Xeon D-1500 SoC und sind somit seitens der CPU
potenter aber das für nur 1200 Euro anstatt 2500 Euro und sie vertragen sich mit pfSense ab Version 2.4 sehr gut!
Und Support kann man von pfSense auch hierzu kaufen!

auch schon (nur der CPU fehlt die Hälfte an Kernen).
Kern ist nicht gleich Kern! Dort sind Intel Xeon D-1500 SoCs verbaut worden die um einiges mehr "Wumms" unter der
Haube haben als die kleineren Atom C2000 Chips.

@Dani
Fällt mal eine Komponente aus oder wird kompromittiert, hat das nur beschränkte Auswirkungen.
Man kann aber mittels der anderen Geräte hier auch einen HA Betrieb aufbauen und dann wenn eine Firewall "abraucht"
springt die andere in Minuten ein und übernimmt den weiteren Betrieb!

Eine reine Firewall zu tauschen ist um einiges leichter, als eine komplette UTM.
Jo das stimmt aber die Sophos UTMs sind auch HA fähig und dort würde man sicherlich auch fündig werden.

@Cyberurmel
Es wäre schon mal schön zu wissen ob die 10 GbE am WAN anliegen oder aber "nur" zur DMZ und zum LAN hin benutzt werden um
dort Switche anzuschließen.

Proxy ist separat am Start .
Ok, wenn man schon einen Squid oder Ngix betreibt dann braucht es auch nur eine reine Firewall sein, oder?
Denn damit kommt man dann schon alleine der Lizenzen wegen günstiger weg.

Spamfilter - gehe ich mal davon aus wird auch darüber laufen.
Bei pfSense hat man die Möglichkeit pfBlockerNG & DNSBL zu nutzen, aber wenn man dort so richtig viele Listen einfügt und
benutzt empfehlen sich glatt 16 GB bis 32 GB RAM dazu! Eine Weiterleitung zum schon vorhandenen Squid oder Ngix sollte
auch kein Problem sein und IDS oder gar andere Pakete kann man sicherlich auch installieren oder aber auch nicht ganz wie
man es benötigt. Supermicro hat außerdem eine recht große Auswahl an Intel Xeon D-1500 BareBones die entweder mit
2 - 16 Kernen und zusätzlichem HT daher kommen und auch alle recht üppig mit RAM ausgestattet werden können.

Bei recht großen VPN Teilnehmeranzahlen würde ich mir einen VPN Server in die DMZ stellen wollen, schau Dir mal
SoftEtherVPN an das läuft auf einem vor gehärtetem CentOS.

Gruß
Dobby
Dani
Dani 21.06.2017 um 23:24:30 Uhr
Goto Top
@108012
Das hab ich gar nicht geschrieben... face-confused

Gruß,
Dani
em-pie
em-pie 22.06.2017 um 09:49:36 Uhr
Goto Top
Zitat von @Dani:

@108012
Das hab ich gar nicht geschrieben... face-confused

Gruß,
Dani

Ikke aber face-wink

kurzer Exkurs bzw. leicht OT:
Ein HA (Hot-Standby) nützt nur etwas, wenn es KEIN Software-Problem ist. Selbst erlebt:
In unserer Sophos UTM hatte ich in 2014 (wie millionenfach zuvor auch schon) einen neuen VPN-User angelegt.
Am Tag X in 2014 hat dieser den Zugang dann benötigt und versucht sich einzuwählen. Ab da hat die Sophos die Grätsche gemacht. Der Master-Node stellte den Dienst ein, der Passiv-Node wollte/ sollte die Funktionalität übernehmen und strich ebenfalls die Segel. An beide Systeme ist man nur noch bedingt via SSH dran gekommen (bzw. via KVM). Unser Systemhaus des Vertrauens wurde hinzugezogen, hätte zwar das eine oder andere machen können aber Sophos wollte selbst erstmal die Lage "erkunden". Nach drei Tagen keiner produktiven Reaktion/ hilfegebenden Unterstützung seitens Sophos haben dann das Systemhaus und ich uns dazu entschieden, mal zu versuchen, die Kiste mit der letzten config (gespeichert auf einem USB-Stick) zu starten. Die Büchse startete, lud die Config vom Stick und alles lief wieder, bis der User wieder den Tunnel versuchte aufzubauen....
Kurzum: Am Ende den User mit seinem VPN-Configs gelöscht und alles neu eingerichtet. Seit dem ist Ruhe. Ich weiss bis heute nicht, was das Problem gewesen ist. Und entweder weiss Sophos das ebenfalls nicht oder die haben das Problem erkannt und stillschweigend in einem Patch gefixt.

So viel dann zum Thema: ein HA "verhindert" lange Ausfälle face-confused