Welche Firewallanbieter haben gut gewartete Aliase für Anwendungsendpunkte?
Hallo zusammen,
ich bin derzeit auf der Suche nach einem neuen Firewallanbieter (bisher OPNsense). Welche Anbieter haben den gut gewartete Endpoint-Listen mit Webdiensten die man separat freigeben kann?
Z.B.
- Microsoft Azure-AD
- Microsoft 365
- Windows Update
- Antivirusanbieter XXX
- Cloud-Dienst xxxx
Ich möchte möglichst ohne selbst die Endpunkte recherchieren und warten zu müssen explizit bestimmte Endpunkte freigeben können. Ziel soll es sein, möglichst sauber alles zu verbieten was nicht expliziert erlaubt ist.
Mir geht es um gutes Handling aber auch um Aktualität und Differenzierbarkeit der Dienste. Und nein, ich möchte Microsoft erlauben, nicht verbieten In den Webdemos / Dokumentationen ist das nicht immer so gut zu erkennen. Und an Testversionen kommt man auch nicht bei jedem so einfach...
Grüße
lcer
ich bin derzeit auf der Suche nach einem neuen Firewallanbieter (bisher OPNsense). Welche Anbieter haben den gut gewartete Endpoint-Listen mit Webdiensten die man separat freigeben kann?
Z.B.
- Microsoft Azure-AD
- Microsoft 365
- Windows Update
- Antivirusanbieter XXX
- Cloud-Dienst xxxx
Ich möchte möglichst ohne selbst die Endpunkte recherchieren und warten zu müssen explizit bestimmte Endpunkte freigeben können. Ziel soll es sein, möglichst sauber alles zu verbieten was nicht expliziert erlaubt ist.
Mir geht es um gutes Handling aber auch um Aktualität und Differenzierbarkeit der Dienste. Und nein, ich möchte Microsoft erlauben, nicht verbieten In den Webdemos / Dokumentationen ist das nicht immer so gut zu erkennen. Und an Testversionen kommt man auch nicht bei jedem so einfach...
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6016604165
Url: https://administrator.de/forum/welche-firewallanbieter-haben-gut-gewartete-aliase-fuer-anwendungsendpunkte-6016604165.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
14 Kommentare
Neuester Kommentar
Hi
ich finde da Fortigate super. Die nennen das ISDB bzw stumpf Applikationen.
Da kann ich dann per ISDB in einer Regel z.B MS Teams freigeben, was dann am Ende alle IPs und zugehörige Ports von Teams erlaubt.
Oder man geht den Weg alles über die Applikationen zu machen, dann erstellt man eine Regel in der man eben die Applikationen als solche freischaltet. Das setzt dann allerdings oft SSL-Inspection vorraus.
Per ISDB benötigt man das nicht, denn das ist einfach eine Liste von IPs und Ports
Checkpoint steht dem in nichts nach ist aber deutlich teurer als Forti und ist nix für zum nebenbei Administrieren.
ich finde da Fortigate super. Die nennen das ISDB bzw stumpf Applikationen.
Da kann ich dann per ISDB in einer Regel z.B MS Teams freigeben, was dann am Ende alle IPs und zugehörige Ports von Teams erlaubt.
Oder man geht den Weg alles über die Applikationen zu machen, dann erstellt man eine Regel in der man eben die Applikationen als solche freischaltet. Das setzt dann allerdings oft SSL-Inspection vorraus.
Per ISDB benötigt man das nicht, denn das ist einfach eine Liste von IPs und Ports
Checkpoint steht dem in nichts nach ist aber deutlich teurer als Forti und ist nix für zum nebenbei Administrieren.
Servus,
Fortinet kann ich bestätigen, schau dir hier die Demo an:
https://fortigate.fortidemo.com
demo/demo
Menü Policy & Objects, Internet Service Database
Grüße, Stefan
Fortinet kann ich bestätigen, schau dir hier die Demo an:
https://fortigate.fortidemo.com
demo/demo
Menü Policy & Objects, Internet Service Database
Grüße, Stefan
Moin,
wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
wenn der Hersteller / das Produkt für dynamische Regeln eine API oder vergleichbar bereitstellt, könntest Du dir sowas theoretisch selbstbauen.
Microsoft veröffentlicht ein entsprechendes JSON für solche Zwecke.
https://endpoints.office.com/endpoints/worldwide?clientrequestid=b10c5ed ...
Zitat von @lcer00:
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.
das nutze ich ja, aber dazu muss ich sicherstellen, dass das Skript regelmäßig sauber ausgeführt wird und bei der Firewall immer aktualisiert wird. Meine Firewall ist damit abhängig von sekundären Systemen - das soll geändert werden.
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
/Thomas
Zitat von @Th0mKa:
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
+1 für Fortigate, aber dir sollte klar sein das auch die nur mit Wasser kochen und (für Microsoft) höchstswahrscheinlich das gleiche JSON File benutzen. 😁
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
Wie bereits erwähnt, nennen die üblichen Verdächtigen die "Endpoint" Applikation oder ähnliches und dann kannst Du bei einer guten Firewall mehr machen als IPs sperren. Also Layer 4 bis 7 Gedöns.
Zitat von @SeaStorm:
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
Das tun sie alle und das ist wohl bei jedem einzelnen der dort vorhandenen Einträge über eine entsprechende Datei oder API befüllt. Manuell pflegt das niemand
Ich wollte auch nur sagen das die Liste vermutlich genauso aktuell oder veraltet sein wird wie bei seiner aktuellen Lösung.
/Thomas
Du kannst die meisten Produkte auf AWS oder Azure per PAYG betreiben.
Grüße
Richard