thomas1a
Goto Top

Welche Gateway Appliance

Hi,

welche Gateway-Appliance wuerden die Profis hier empfehlen wenn die Vorgabe folgender Maßen aussehen:

- 50 interne User
- 2 Verschiedene ISPs ( eine langsamere verlaessliche Connection fuer Backend/Aussenstellen anbindung
; eine schnelle guenstige zum Surfen )

- moeglichkeit den traffic zu protokollieren ( wer, wann , wohin, etc )
- moeglichkeit den traffic zu restriktieren ( x darf nach y aber nicht nach z )
- moeglichkeit den traffic ueber entweder guenstige bzw verlaesliche leitung zu routen
- evtl. proaktive websecurity ( filter basierend oder pattern etc.. )

Es geht darum einen alten ISA Server dessen websecurity dienste niemals genutzt werden gegen eine wartungsfreundliche appliance zu ersetzen.

Content-ID: 196750

Url: https://administrator.de/forum/welche-gateway-appliance-196750.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

108012
108012 10.01.2013 um 12:56:56 Uhr
Goto Top
Hallo thomas1a,

welche Gateway-Appliance wuerden die Profis hier empfehlen wenn die Vorgabe folgender Maßen aussehen:
Eine die mit Bedacht ausgewählt wurde, die Du selber administrieren kannst, den Ansprüchen gerecht wird und noch etwas Reserve mitbringt, für zukünftige Ansprüche und zusätzliche Mitarbeiter.

- 50 interne User
Deren verhalten und/oder Aufgaben wären schon schön zu kennen.
Nur surfen und Email Nutzung?
Oder Surfen, Email, VPN, Downloads, Uploads, massiver zugriff auf das Internet von beiden Seiten?

- 2 Verschiedene ISPs ( eine langsamere verlaessliche Connection fuer Backend/Aussenstellen anbindung
eine schnelle guenstige zum Surfen )
Das weiß der Router oder die Firewall im Leben nicht zu unterscheiden, ;) aber eine saubere Lösung wäre
mindestens eine Dual WAN Lösung zu nehmen die Policy Based Routing unterstützt, VPN fähig ist, ein Handbuch hat was Du lesen kannst und von einem Namhaften Hersteller ist der einen Ruf zu verlieren hat und
deshalb schnell und agil mit Firmwareupdates auf Fehler reagiert!
Des weiteren wäre ja schön zu wissen was denn schon für Hardware vorhanden ist um eventuell vom selben Hersteller einen Router oder eine Firewall zu kaufen die dann sicherlich auch ordentlich miteinander
harmonisieren, z.B. wenn Switche der Marke Cisco und der Serie Catalyst 4500 vorhanden sind, könnte
man ja mit einer weiteren Lösung von Cisco das ganz rund halten und vor allem auch den Lernprozess und
die Anlaufstellen.

- moeglichkeit den traffic zu protokollieren ( wer, wann , wohin, etc )
Eventuell macht sich für so etwas ja auch ein Syslog Server gut im Netzwerk wo von vielen Geräten
alle Protokolldateien gesammelt werden.

- moeglichkeit den traffic zu restriktieren ( x darf nach y aber nicht nach z )
Das kann eine MikroTik Lösung genauso gut wie eine teure Firewall der namhaften Hersteller, nur wie viel Geld ist denn im Budget und von was hast Du wie viel Ahnung? Und kann man das nicht schon zum großen Teil
LAN seitig an den Switchen konfigurieren?

- moeglichkeit den traffic ueber entweder guenstige bzw verlaesliche leitung zu routen
Also die Firewall oder der Router merken nichts davon, zum einen wie verlässlich eine Leitung
ist noch zum Anderen wie teuer diese bezahlt wird.
Denn wenn der Baggerfahrer das Kabel erwischt sind beide Leitungen hinüber.

- evtl. proaktive websecurity ( filter basierend oder pattern etc.. )
Das sollte schon etwas näher erläutert werden und zwar vorher, denn der Anschaffungspreis ist dann nicht mehr alleine ein KO Kriterium, sondern auch die anfallenden Lizenzkosten!

Es geht darum einen alten ISA Server dessen websecurity dienste niemals genutzt werden gegen eine wartungsfreundliche appliance zu ersetzen.
Ich hoffe einmal ganz stark das wartungsfreundlich nicht kinderleicht ist und auch nicht heißt das man die
Protokolldateien nicht regelmäßig durchgehen muss.

In anderen Beiträgen haben sich anhand der von Dir gemachten Angaben mitunter folgende bewährt oder sind
darauf hin gekauft worden.

LANCOM Router
Sophos UTM320
Draytek Vigor Serie
MikroTik RB100AHx2

Es wäre ja auch schön zu wissen was das denn nun für Internetanbindungen sind.
Denn wenn Du/Ihr nun schon einen schnellen FTTH Anschluss habt wäre da nicht zuletzt
der LANCOM 1781EF oder der Draytek Vigor 3900 eine schicke Lösung oder in zwei Monaten bzw.
zukünftig ein MikroTik CCR-1036-12G-4S, nur als Beispiel.

Kommen irgend wann noch Internetzugänge dazu wäre auch ein Netgear SRX5308 eine Überlegung wert.
Und wenn noch weitere Internetzugänge dazu kommen würden, aber eben Antivirus und Kontenfilter eine
größere Rolle spielen wäre die Sophos UTM320 wieder weiter vorne.

Also so pauschal ist das immer nicht zu beantworten.

Gruß
Dobby
Hitman4021
Hitman4021 10.01.2013 um 13:11:28 Uhr
Goto Top
Hallo,

als kleine Ergänzung zu @108012 sollte man auch die Juniper Geräte empfehlen.

Gruß
108012
108012 10.01.2013 um 13:30:19 Uhr
Goto Top
Hitman4021,

als kleine Ergänzung zu Dobby sollte man auch die Juniper Geräte empfehlen.
Genau das meinte ich, Hersteller gibt es ja wie Sand amd Meer, des wegen auch meine Frage nach den schon vorhandenen Geräten, klar wenn dort Junos (Juniper) Geräte schon vorhanden sind würde ich auch zu einem Gerät von Juniper tendieren vielleicht aus der SSG Serie die ist gut gestaffelt.

Gruß
Dobby
thomas1a
thomas1a 10.01.2013 um 14:13:04 Uhr
Goto Top
Zitat von @108012:
> - 50 interne User
Deren verhalten und/oder Aufgaben wären schon schön zu kennen.
Nur surfen und Email Nutzung?
Oder Surfen, Email, VPN, Downloads, Uploads, massiver zugriff auf das Internet von beiden Seiten?

lediglich std. surfen und emails, keine downloads, keine uploads.

> - 2 Verschiedene ISPs ( eine langsamere verlaessliche Connection fuer Backend/Aussenstellen anbindung
eine schnelle guenstige zum Surfen )
Das weiß der Router oder die Firewall im Leben nicht zu unterscheiden, ;) aber eine saubere Lösung wäre
mindestens eine Dual WAN Lösung zu nehmen die Policy Based Routing unterstützt, VPN fähig ist, ein Handbuch hat was
Du lesen kannst und von einem Namhaften Hersteller ist der einen Ruf zu verlieren hat und
deshalb schnell und agil mit Firmwareupdates auf Fehler reagiert!

es ging ja nur darum das ich dem router in irgendeiner art und weise vermitteln kann, im normalfall nimmst du diese line, falls diese failed gehts ueber die andere nach aussen. wichtig sind natuerlich die von dir angesprochenen updates etc.


Des weiteren wäre ja schön zu wissen was denn schon für Hardware vorhanden ist um eventuell vom selben Hersteller
einen Router oder eine Firewall zu kaufen die dann sicherlich auch ordentlich miteinander
harmonisieren, z.B. wenn Switche der Marke Cisco und der Serie Catalyst 4500 vorhanden sind, könnte
man ja mit einer weiteren Lösung von Cisco das ganz rund halten und vor allem auch den Lernprozess und
die Anlaufstellen.

aktuell nutzen wir lediglich lancoms fuer unsere backend/aussenstellen anbindung, das klappt auch einwandfrei und soll so bestehen bleiben. das bedeutet die isa ersatz appliance soll regeln das der interne traffic intern bleibt ( abzweig lancom ) und der externe traffic ueber die billig line rausgeht.

nach intern geht:

vpn ( ras )
mail ( exchange )
www ( noch - bald extern deswegen eigentlich nicht mehr wichtig )

unsere sichere line wird mittels catalyst realisiert - die billig surf line wird mittels eines billig plastik wuerfels der einfach nur die synchrone dsl line aufbaut realisiert - angesprochen wird das ganze noch ueber den ISA Server - welcher ja weg soll.

> - moeglichkeit den traffic zu protokollieren ( wer, wann , wohin, etc )
Eventuell macht sich für so etwas ja auch ein Syslog Server gut im Netzwerk wo von vielen Geräten
alle Protokolldateien gesammelt werden.

fuer andere dienste bereits im einsat - aber im jahre 2013 sollte man ein wenig convenience erwarten koennen
wenns um logfiles auswerten geht - was GFI auf dem ISA anbietet sollte eine appliance auch mitbringen.
ich KANN mir alles 20x aus/durch/von/nach sonstwelchen logs pipen etc und danach auswerten aber ich wills
einfach nicht mehr.


> - moeglichkeit den traffic zu restriktieren ( x darf nach y aber nicht nach z )
Das kann eine MikroTik Lösung genauso gut wie eine teure Firewall der namhaften Hersteller, nur wie viel Geld ist denn im
Budget und von was hast Du wie viel Ahnung? Und kann man das nicht schon zum großen Teil
LAN seitig an den Switchen konfigurieren?

budget soll sich fuer eine kleine loesung im bereich 1500€ bewegen.


> - moeglichkeit den traffic ueber entweder guenstige bzw verlaesliche leitung zu routen
Also die Firewall oder der Router merken nichts davon, zum einen wie verlässlich eine Leitung
ist noch zum Anderen wie teuer diese bezahlt wird.
Denn wenn der Baggerfahrer das Kabel erwischt sind beide Leitungen hinüber.

die eine line ist eine 250mbit WLL Funkstrecke ( 0 ausfaelle in 9 jahren ) und die billig line ist eine standard DSL line von einem lokalen anbieter.


> - evtl. proaktive websecurity ( filter basierend oder pattern etc.. )
Das sollte schon etwas näher erläutert werden und zwar vorher, denn der Anschaffungspreis ist dann nicht mehr alleine
ein KO Kriterium, sondern auch die anfallenden Lizenzkosten!

da wir sehr restriktive verfahren einsetzen ( clientseitig ) sollte die appliance rudimaentaere standards abfangen koennen bzw anzeigen.


In anderen Beiträgen haben sich anhand der von Dir gemachten Angaben mitunter folgende bewährt oder sind
darauf hin gekauft worden.

LANCOM Router
Sophos UTM320
Draytek Vigor Serie
MikroTik RB100AHx2

Es wäre ja auch schön zu wissen was das denn nun für Internetanbindungen sind.
Denn wenn Du/Ihr nun schon einen schnellen FTTH Anschluss habt wäre da nicht zuletzt
der LANCOM 1781EF oder der Draytek Vigor 3900 eine schicke Lösung oder in zwei Monaten bzw.
zukünftig ein MikroTik CCR-1036-12G-4S, nur als Beispiel.

Lancom hoert sich sehr gut an - wie siehts denn da mit dem Reporting aus ? Ziel ist es nicht wieder
irgendwelche Daten aufbereiten zu muessen - das MUSS die Appliance von sich aus representativ rueber bringen -
denn sonst kann ich mir muehelos eine linux kiste hinstellen und die so verwurschteln das alles passt aber genau das soll es nicht mehr sein.


Vielen Dank fuer deine Infos, ich werde mir die anderen von dir genannten Geräte mal anschauen.
wiesi200
wiesi200 10.01.2013 um 14:25:31 Uhr
Goto Top
Hallo,

also was interessant ist für "Laien"
Ne Gateprotect

Das Teil ist wirklich (fast) Idiotensicher.
108012
108012 10.01.2013 um 15:07:35 Uhr
Goto Top
Hallo nochmal,

es ging ja nur darum das ich dem router in irgendeiner art und weise vermitteln kann, im normalfall nimmst du diese line, falls diese failed gehts ueber die andere nach aussen. wichtig sind natuerlich die von dir angesprochenen updates etc.
In Deinem Fall würde ich ein Load balancing nehmen und kein Failover sonst liegt immer eine Leitung
ungenutzt brach!

fuer andere dienste bereits im einsat - aber im jahre 2013 sollte man ein wenig convenience erwarten koennen wenns um logfiles auswerten geht - was GFI auf dem ISA anbietet sollte eine appliance auch mitbringen. ich KANN mir alles 20x aus/durch/von/nach sonstwelchen logs pipen etc und danach auswerten aber ich wills einfach nicht mehr.
Aber Du darfst bei der ganzen Sache bitte eines nicht vergessen, wenn jemand einbricht sind die
Logfiles oftmals das einzigste was Du noch hast um es nach vollziehen zu können und vor allem anderen
um das alles wieder rückgängig zu machen! Und Router, Firewall so wie Switche haben nun einmal alles
den selben Fehler zu wenig Speicher für so etwas! Das heißt das die Logfiles (Protokolldateien)
irgend wann wenn dieser Speicherplatz aufgebraucht wurde, überschrieben werden.

budget soll sich fuer eine kleine loesung im bereich 1500€ bewegen.
Das sollte sie auch und ich würde diese Lösung auch von Cisco wählen wenn das Geld dazu reicht!
Für SPI, NAT und Firewall regeln geht immer so 1-5% Durchsatz "verloren" oder der Durchsatz wird
dann dadurch gehemmt bzw. verlangsamt, wenn nun aber noch Kontenfilter und Antivirus dazu kommen
kann es sehr schnell zu langsam werden! Also wenn Du Dich für ein UTM Gerät entscheidest
bitte nicht nur auf WAN - LAN, VPN und Firewall Durchsatz gucken, sondern was effektiv nach dem
Antivirenscann noch übrig ist!

die eine line ist eine 250mbit WLL Funkstrecke ( 0 ausfaelle in 9 jahren ) und die billig line ist eine standard DSL line von einem lokalen anbieter. Also kommen Geräte mit 100 MBit/s Ports nicht in Betracht!

da wir sehr restriktive verfahren einsetzen ( clientseitig ) sollte die appliance rudimaentaere standards abfangen koennen bzw anzeigen.
Bei einem 1500 € Budget würde ich das auch einmal so stehen lassen, wenn nicht noch mehr.
Es macht irgend wie richtig Spaß mal nicht einen "Wir brauchen alles können, aber haben kein Geld"
Typen kennen zu lernen.

Lancom hoert sich sehr gut an - wie siehts denn da mit dem Reporting aus ? Ziel ist es nicht wieder
irgendwelche Daten aufbereiten zu muessen - das MUSS die Appliance von sich aus representativ rueber bringen - denn sonst kann ich mir muehelos eine linux kiste hinstellen und die so verwurschteln das alles passt aber genau das soll es nicht mehr sein.
Also ich bin nicht der Profi wie viele andere hier im Forum und auch nur Heimanwender,
aber ich würde Dir sogar raten eine sehr potente "Kiste" hinzustellen auf der so etwas wie pfSense
läuft und diese alle Logfiles annehmen zu lassen! Denn wenn einer in Euer Netzwerk einbricht, wird er die Logfiles um seine Anwesenheit kürzen wollen und dann weist Du nichts über seinen Besuch!
Und das war auch noch nie gut. Außerdem dürfen dann der erste Einbruchsversuch und ein erneuter
ruhig weiter auseinander liegen, das stört dann keinen mehr denn die Logfiles werden nicht
einfach überschrieben sondern gesichert aufbewahrt!

Also der Draytek Vigor 3900 macht für mich einen sehr guten Eindruck, aber ohne Antivirus Option.
Und mit Antivirus option würde ich zu der Sophos UTM320 greifen.

Beide sind übrigens redundant zu betreiben! Das heißt wenn ein zweites Gerät der Selben Marke und
Modellreihe hier zusammen betrieben wird, darf sogar eines ausfallen und das andere Übernimmt dann
automatisch den gesamten Verkehr auch eine nette Zusatzoption die nicht alle im Programm haben!

Gruß und viel Glück
Dobby