11
Welche Sophos UTM Hardware?
Servus;
Ich hab hier eine Sophos UTM virtuell auf einem ESXi.
Ich will nun endlich diese auf eine extra Hardware umziehen.
Nun frag ich mich wie ich das am Besten anstelle.
Bzw wie fang ich überhaupt zu Suchen an?
Bzw welche Kriterien sind relevant?
Ich versuche mal alles aufzulisten was interessant sein könnte:
1. Ist eine Schule
2. ~300 Clients im Netzwerk mit Internettraffic.
3. derzeit nur eine 16Mbit Leitung (vielleicht kommt im nächsten Jahrtausend mal ein Glas...), sprich die Firewall soll schon 200Mbit Durchsatz schaffen.
4. Genutzt wird:
4.1 Firewall, mit 40 Regeln
4.2 Intrusion Prevention
4.3 Web Filtering, Porno Filter usw
4.4 Netzwork Visibility, wo dann über Qos Bandbreite für zB Facebook usw eingeschränkt wird
4.5 Antivirus
4.6 Antispyware
5. Es sind nur zwei Netzwerkkarten in Verwendung (WAN und LAN)
6. Sie ist bei den Schülern als Proxy eingetragen
Derzeit sind der Sophos 4Gb RAM (zu 70% voll) und zwei CPUs (die hie und da an ihre Grenzen stoßen) zugeordnet.
Grundsätzlich wollen wir, voraussichtlich Sommer 2018 auf pfSense umsteigen, daher wäre es ja Blödsinn eine Sophos UTM Hardware Appliances zu kaufen.
Daher dachte ich da an eine Zotac ZBOX MI547.
Das Teil mit 8GB RAM und einer SSD. Von dem Barebone würde ich einfach zwecks "Ausfallsicherheit" eine zweite kaufen und vielleicht dann beide als Cluster betreiben.
Ein Freund von mir betreibt sehr erfolgreich und problemlos auf einer ähnlichen Box eine pfSense.
Wie dumm klingt das?
EDIT: Preis sollte eher niedrig angesiedelt sein, mit den beiden Boxen wäre ich bei ungefähr 1000€.
EDIT2: Ahja! Fast vergessen, VPN, in welcher Form auch immer soll auch bald eingesetzt werden.
Ich hab hier eine Sophos UTM virtuell auf einem ESXi.
Ich will nun endlich diese auf eine extra Hardware umziehen.
Nun frag ich mich wie ich das am Besten anstelle.
Bzw wie fang ich überhaupt zu Suchen an?
Bzw welche Kriterien sind relevant?
Ich versuche mal alles aufzulisten was interessant sein könnte:
1. Ist eine Schule
2. ~300 Clients im Netzwerk mit Internettraffic.
3. derzeit nur eine 16Mbit Leitung (vielleicht kommt im nächsten Jahrtausend mal ein Glas...), sprich die Firewall soll schon 200Mbit Durchsatz schaffen.
4. Genutzt wird:
4.1 Firewall, mit 40 Regeln
4.2 Intrusion Prevention
4.3 Web Filtering, Porno Filter usw
4.4 Netzwork Visibility, wo dann über Qos Bandbreite für zB Facebook usw eingeschränkt wird
4.5 Antivirus
4.6 Antispyware
5. Es sind nur zwei Netzwerkkarten in Verwendung (WAN und LAN)
6. Sie ist bei den Schülern als Proxy eingetragen
Derzeit sind der Sophos 4Gb RAM (zu 70% voll) und zwei CPUs (die hie und da an ihre Grenzen stoßen) zugeordnet.
Grundsätzlich wollen wir, voraussichtlich Sommer 2018 auf pfSense umsteigen, daher wäre es ja Blödsinn eine Sophos UTM Hardware Appliances zu kaufen.
Daher dachte ich da an eine Zotac ZBOX MI547.
Das Teil mit 8GB RAM und einer SSD. Von dem Barebone würde ich einfach zwecks "Ausfallsicherheit" eine zweite kaufen und vielleicht dann beide als Cluster betreiben.
Ein Freund von mir betreibt sehr erfolgreich und problemlos auf einer ähnlichen Box eine pfSense.
Wie dumm klingt das?
EDIT: Preis sollte eher niedrig angesiedelt sein, mit den beiden Boxen wäre ich bei ungefähr 1000€.
EDIT2: Ahja! Fast vergessen, VPN, in welcher Form auch immer soll auch bald eingesetzt werden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 332458
Url: https://administrator.de/contentid/332458
Printed on: April 19, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hi,
wir haben an ca. 40 Standorten (Schulen) folgende Geräte im Einsatz:
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/les-v2/low-e ...
Diese wird wahrscheinlich zu Schwach für dein Einsatzgebiet sein. Aber bei Thomas Krenn findest du hier auch noch andere Geräte:
https://www.thomas-krenn.com/de/loesungen/pfsense-firewall.html
Wir haben ein openBSD mit den PFsense Firewall Filtern installiert und nutzen zum Teil auch noch einen DHCP/DNS/Proxy Server und der Durchsatz liegt bei ca. 900-1000MBit/s.
Folgende Config wäre für dich Interessant:
Viele Grüße
Yannik
wir haben an ca. 40 Standorten (Schulen) folgende Geräte im Einsatz:
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/les-v2/low-e ...
Diese wird wahrscheinlich zu Schwach für dein Einsatzgebiet sein. Aber bei Thomas Krenn findest du hier auch noch andere Geräte:
https://www.thomas-krenn.com/de/loesungen/pfsense-firewall.html
Wir haben ein openBSD mit den PFsense Firewall Filtern installiert und nutzen zum Teil auch noch einen DHCP/DNS/Proxy Server und der Durchsatz liegt bei ca. 900-1000MBit/s.
Folgende Config wäre für dich Interessant:
Thomas-Krenn LES v2
Optimiert für Open Source Firewall pfSense
Intel Celeron N2930 4-Core 2,16 GHz 2MB
8 GB DDR3 1600 LV SO-DIMM ATP (1x 8192 MB)
128 GB mSATA III Transcend SSD
Vesa Halterung
Energiesparendes Slim-Line Netzteil LES v2
24 Monate
Essential-Paket (D)Viele Grüße
Yannik
1
Vielen Dank.
Thomas Krenn hab ich ganz vergessen, da werde ich mal reinschauen.
Thomas Krenn hab ich ganz vergessen, da werde ich mal reinschauen.
Grundsätzlich wollen wir, voraussichtlich Sommer 2018 auf pfSense umsteigen, daher wäre es ja Blödsinn eine Sophos UTM Hardware Appliances zu kaufen.
Warum so lange warten und doppelten Aufwand betreiben?
Dann jetzt direkt die richtige Hardware und pfSense und gut is.
Gruß
Looser
Zitat von @Looser27:
Warum so lange warten und doppelten Aufwand betreiben?
Dann jetzt direkt die richtige Hardware und pfSense und gut is.
Verstehe auch nicht was das soll. Du hast offensichtlich alles in einer Sophos bereits im Einsatz die als VM läuft, warum soll das überhaupt auf Hardware umziehen, die VM läßt sich doch viel besser gegen Ausfall sichern als eine einzelne Hardware Box? Lizenztechnisch kam uns die VM leider teurer als die Hardware ansonsten hätte ich lieber eine VM gehabt.Warum so lange warten und doppelten Aufwand betreiben?
Dann jetzt direkt die richtige Hardware und pfSense und gut is.
Eine Sophos Hardware könntest du recht einfach mit deiner alten Config betreiben und das wäre schnell gewechselt aber du zahlst die Hardware und verlierst Ausfallsicherheit. Wenn du jetzt sowieso einen Umstieg auf pfSense planst dann würde ich mir die Arbeit und/oder das Geld für den Zwischenschritt sparen oder die bisherige Lösung bis dahin weiter fahren.
Auch verstehe ich nicht warum du auf ein SoC-Gerät abzielst. Das ganze ließe sich vermutlich mit Desktop-Komponenten günstiger abbilden und besser nachrüsten (z.B. Netzwerkports). Ist Stromverbrauch oder kompakte Bauweise hier wirklich ein Kriterium?
Hallo,
das was Du dort vor hast ist eine richtige UTM und das auch noch für 300 Benutzer, da soll doch dann aber auch noch
etwas am Schluss heraus kommen oder? Ich meine an Durchsatz!? Also wenn Du schon 1000 Euro hast dann mach auch
was draus und zwar so dass man dann auch die Sophos UTM und und später die pfSense UTM drauf laufen lassen kann.
Das spart Zeit und Geld und man hat dann auch für längere zeit etwas davon und die Anforderungen steigen eher als dass
sie sinken, auch im den Punkten Sicherheit und Kontrolle.
und zwar so dass man dann auch noch von surfen und nicht von schleichen reden muss. Zur zeit ist ein Intel Xeon E3-12xx vx
das "Non plus Ultra" wenn es um Power und Stromsparen geht, und dann reicht auch ein gebrauchter aus, es sei denn man
hat das Geld und schafft eine Appliance an mit einem Intel Xeon D-15x8 Prozessor, die sind irgend wie genau zwischen den
Consumer CPUs und der Xeon E3 Rakete und routen locker 1 GBit/s am WAN Interface und packen auch den Rest noch so
dass man danach noch genug Durchsatz hat. Wäre ja meine Empfehlung dazu.
Bitte nicht verwechseln, Untangle und Sophos UTM ebenso wie IPFire, ZeroShell oder gar Endian setzen alle Linux als Unterbau
ein und damit geht es etwas flüssiger und es ist etwas Hardware naher gecodet (Programmiert) pfSense jedoch setzt auf FreeBSD
als unterbau und dort wird etwas mehr Hardwareleistung abverlangt und wenn dann Snort, Squid, pfBlockerNG und ClamAV mit im+
Spiel sind bleibt nachher eventuell nicht mehr viel übrig von der schnellen 200 MBit/s Leitung!
Normaler weise, so was man im pfsense Forum und von Bekannten oder Anwendern hört und mitbekommt,
nimmt man folgende Hardware weil sie kompatibel ist und gut oder rund läuft ohne Probleme zu verursachen
für (Sophos, Untangle, pfSense, IPFire, ZeroShell oder Endian bzw. ClearOS);
Niedriger Durchsatz, mit wenigen Funktionen (installierten Paketen):
APU2C4, 30 Gb - 60 GB mSATA
SG-2220, SG2400
Mehr Durchsatz, und einigen Funktionen (installierten Paketen):
Jetway NF9HG-2930, 8 GB, 60 GB mSATA
Supermicro C2558
SG-4860,
Mittlerer Durchsatz, mit mehr Funktionen (installierten Paketen):
Supermicro C2758
ASUS Q87T
SG-8860 oder XG-2758
Hoher Durchsatz, mit vielen oder allen Funktionen (installierten Paketen):
Supermicro SYS-E300-D8 oder SYS-E200- D8
Intel Xeon E3-12xx v3
einem kleineren bis mittlerem Betrieb gleich und das auch mit all seinen Anforderungen. Klar verdienen
die Geld und ihr nicht und genau dort liegt das Problem, aber wenn schon 1000 Euro zusammen kommen
kaufe ich lieber einmal und dann richtig und fertig ist die Laube!
Trumpf und das beschleunigt man zur zeit nur mittels mehrerer CPU Kerne und viel GHz, erst ab OpenVPN 2.4
wird sich das in pfSense richtig ändern aber ich würde mich darauf auch nicht verlassen wollen, denn Mitte 2018
ist auch nur noch ein Jahr bzw. 15 Monate weit weg!
Ich würde folgendes kaufen wollen, damit es zum Einen auch bei dem Einsatz von PPPoE am WAN Port noch richtig
Durchsatz gibt und es relativ egal ist wie viele Pakete installiert worden sind, aber auch für die Internetgeschwindigkeit
noch nach oben Platz ist.
Vorschlag: (4C/8T)
- Supermicro SYS-E300-8D ~780 Euro
- 2 x 4 GB DDR4-2133 RAM ~180 Euro
- 1 x Samsung840 Pro 256 GB ~80 Euro
= ~1040 Euro total
Alternative: (6C/12T)
- Supermicro SYS-E200-8D ~925 Euro
- 2 x 4 GB DDR4-2133 RAM ~92 Euro
- 1 x Samsung840 Pro 128 GB ~60 Euro
= ~1080 Euro total
- AES-NI
- DPDK ready (enabled Software only)
- Intel LAN Ports 2 x 1 GB & 2 x 10 GbE oder SFP+
Gruß
Dobby
das was Du dort vor hast ist eine richtige UTM und das auch noch für 300 Benutzer, da soll doch dann aber auch noch
etwas am Schluss heraus kommen oder? Ich meine an Durchsatz!? Also wenn Du schon 1000 Euro hast dann mach auch
was draus und zwar so dass man dann auch die Sophos UTM und und später die pfSense UTM drauf laufen lassen kann.
Das spart Zeit und Geld und man hat dann auch für längere zeit etwas davon und die Anforderungen steigen eher als dass
sie sinken, auch im den Punkten Sicherheit und Kontrolle.
1. Ist eine Schule
2. ~300 Clients im Netzwerk mit Internettraffic.
3. derzeit nur eine 16Mbit Leitung (vielleicht kommt im nächsten Jahrtausend mal ein Glas...), sprich die Firewall
soll schon 200Mbit Durchsatz schaffen.
Dann lieber eine potente Hardware die nach allen Prüfungen und Firewallregeln dann auch noch etwas durchlässt2. ~300 Clients im Netzwerk mit Internettraffic.
3. derzeit nur eine 16Mbit Leitung (vielleicht kommt im nächsten Jahrtausend mal ein Glas...), sprich die Firewall
soll schon 200Mbit Durchsatz schaffen.
und zwar so dass man dann auch noch von surfen und nicht von schleichen reden muss. Zur zeit ist ein Intel Xeon E3-12xx vx
das "Non plus Ultra" wenn es um Power und Stromsparen geht, und dann reicht auch ein gebrauchter aus, es sei denn man
hat das Geld und schafft eine Appliance an mit einem Intel Xeon D-15x8 Prozessor, die sind irgend wie genau zwischen den
Consumer CPUs und der Xeon E3 Rakete und routen locker 1 GBit/s am WAN Interface und packen auch den Rest noch so
dass man danach noch genug Durchsatz hat. Wäre ja meine Empfehlung dazu.
Bitte nicht verwechseln, Untangle und Sophos UTM ebenso wie IPFire, ZeroShell oder gar Endian setzen alle Linux als Unterbau
ein und damit geht es etwas flüssiger und es ist etwas Hardware naher gecodet (Programmiert) pfSense jedoch setzt auf FreeBSD
als unterbau und dort wird etwas mehr Hardwareleistung abverlangt und wenn dann Snort, Squid, pfBlockerNG und ClamAV mit im+
Spiel sind bleibt nachher eventuell nicht mehr viel übrig von der schnellen 200 MBit/s Leitung!
Derzeit sind der Sophos 4Gb RAM (zu 70% voll) und zwei CPUs (die hie und da an ihre Grenzen stoßen) zugeordnet.
Sehe ich auch so, und bei pfsense kann man sogar noch diverse Sachen in den RAM auslagern.Grundsätzlich wollen wir, voraussichtlich Sommer 2018 auf pfSense umsteigen, daher wäre es ja Blödsinn eine Sophos
UTM Hardware Appliances zu kaufen.
Man kann auch seine eigene Hardware kaufen, auf der dann beides gut und rund läuft!UTM Hardware Appliances zu kaufen.
Daher dachte ich da an eine Zotac ZBOX MI547.
Das Teil mit 8GB RAM und einer SSD. Von dem Barebone würde ich einfach zwecks "Ausfallsicherheit" eine zweite
kaufen und vielleicht dann beide als Cluster betreiben.
Lass da bloß die Finger von damit gibt es früher oder später immer Probleme mit!!!!Das Teil mit 8GB RAM und einer SSD. Von dem Barebone würde ich einfach zwecks "Ausfallsicherheit" eine zweite
kaufen und vielleicht dann beide als Cluster betreiben.
Ein Freund von mir betreibt sehr erfolgreich und problemlos auf einer ähnlichen Box eine pfSense.
Wie dumm klingt das?
Dumm nicht, aber einfach Glück gehabt würde ich mal sagen wollen!!!!Wie dumm klingt das?
Normaler weise, so was man im pfsense Forum und von Bekannten oder Anwendern hört und mitbekommt,
nimmt man folgende Hardware weil sie kompatibel ist und gut oder rund läuft ohne Probleme zu verursachen
für (Sophos, Untangle, pfSense, IPFire, ZeroShell oder Endian bzw. ClearOS);
Niedriger Durchsatz, mit wenigen Funktionen (installierten Paketen):
APU2C4, 30 Gb - 60 GB mSATA
SG-2220, SG2400
Mehr Durchsatz, und einigen Funktionen (installierten Paketen):
Jetway NF9HG-2930, 8 GB, 60 GB mSATA
Supermicro C2558
SG-4860,
Mittlerer Durchsatz, mit mehr Funktionen (installierten Paketen):
Supermicro C2758
ASUS Q87T
SG-8860 oder XG-2758
Hoher Durchsatz, mit vielen oder allen Funktionen (installierten Paketen):
Supermicro SYS-E300-D8 oder SYS-E200- D8
Intel Xeon E3-12xx v3
EDIT: Preis sollte eher niedrig angesiedelt sein, mit den beiden Boxen wäre ich bei ungefähr 1000€.
Du benötigst eine UTM für fast 300 Benutzer und das kommt nun einmal, ob man das will oder nicht,einem kleineren bis mittlerem Betrieb gleich und das auch mit all seinen Anforderungen. Klar verdienen
die Geld und ihr nicht und genau dort liegt das Problem, aber wenn schon 1000 Euro zusammen kommen
kaufe ich lieber einmal und dann richtig und fertig ist die Laube!
EDIT2: Ahja! Fast vergessen, VPN, in welcher Form auch immer soll auch bald eingesetzt werden.
IPSec ist nett auf den Geräten mit AES-NI, aber bei einer statischen öffentlichen IP Adresse ist OpenVPNTrumpf und das beschleunigt man zur zeit nur mittels mehrerer CPU Kerne und viel GHz, erst ab OpenVPN 2.4
wird sich das in pfSense richtig ändern aber ich würde mich darauf auch nicht verlassen wollen, denn Mitte 2018
ist auch nur noch ein Jahr bzw. 15 Monate weit weg!
Ich würde folgendes kaufen wollen, damit es zum Einen auch bei dem Einsatz von PPPoE am WAN Port noch richtig
Durchsatz gibt und es relativ egal ist wie viele Pakete installiert worden sind, aber auch für die Internetgeschwindigkeit
noch nach oben Platz ist.
Vorschlag: (4C/8T)
- Supermicro SYS-E300-8D ~780 Euro
- 2 x 4 GB DDR4-2133 RAM ~180 Euro
- 1 x Samsung840 Pro 256 GB ~80 Euro
= ~1040 Euro total
Alternative: (6C/12T)
- Supermicro SYS-E200-8D ~925 Euro
- 2 x 4 GB DDR4-2133 RAM ~92 Euro
- 1 x Samsung840 Pro 128 GB ~60 Euro
= ~1080 Euro total
- AES-NI
- DPDK ready (enabled Software only)
- Intel LAN Ports 2 x 1 GB & 2 x 10 GbE oder SFP+
Gruß
Dobby
Es wurde vor kurzem der Support für die Sophos um ein Jahr verlängert, das wollen wir natürlich noch nutzen.
Es wird immer wieder geschrieben, überhaupt hier dass eine Firewall in einer VM ein NoGo ist.
Und das sehe ich auch so.
Wo du bzw ihr allerdings recht habt ist, dass ich mit dem Kauf der Hardware warte bis ich auf pfSense umsteigen.
Wo du allerdings auch recht hast, dass die Größe und auch der Stromverbrauch eher zweitrangig sind.
Und das sehe ich auch so.
Wo du bzw ihr allerdings recht habt ist, dass ich mit dem Kauf der Hardware warte bis ich auf pfSense umsteigen.
Wo du allerdings auch recht hast, dass die Größe und auch der Stromverbrauch eher zweitrangig sind.
Das was du schreibst klingt vernünftig.
Ich dachte allerdings nicht dass wirklich soviel Leistung benötigt wird, da wir ja derzeit mit zwei Kernen (2,4 GHz)eigentlich locker auskommen.
Ich bzw wir haben jetzt beschlossen mit der Umstellung auf Hardware zu warten bis wir pfSense nehmen.
Vielleicht dann erst 2019, im Öffentlichen Bereich ist alles etwas langsamer
Ich dachte allerdings nicht dass wirklich soviel Leistung benötigt wird, da wir ja derzeit mit zwei Kernen (2,4 GHz)eigentlich locker auskommen.
Ich bzw wir haben jetzt beschlossen mit der Umstellung auf Hardware zu warten bis wir pfSense nehmen.
Vielleicht dann erst 2019, im Öffentlichen Bereich ist alles etwas langsamer
Grundsätzlich ist eine Firewall wirklich immer nur dann sicher wenn sie nicht auf dem System läuft, das sie absichert sondern auf einem dedizierten System. Wenn also das zu sichernde System keinen Einfluss auf die Firewall nehmen kann.
Wenn jetzt die Firewall VM und die zu schützenden Systeme auf dem selben Hypervisor laufen ist das theoretisch problematisch, da stimme ich dir zu. Allerdings halte ich auch die absolute Sicherheit für Utopie und sehe bei einer Firewall in einer VM (auf einem Level 1 Hypervisor) keine realisistsche Gefahr. Keiner tut absolut alles was geht für die Sicherheit nur um ein Quäntchen mehr Sicherheit zu realisieren (du kommst ja auch nicht auf die Idee jeden Tag dein Passwort zu ändern obwohl es die Sicherheit womöglich in gleicher Maße steigern würde).
Zum Thema Sicherheit der VM hat sich aus gegebenen Anlass im Heise Forum eine aus meiner Sicht lesenswerte Diskussion ergeben. Es ging zwar in dem eigentlichen Artikel/Hack darum aus einer VM auszubrechen und das Host-System zu kompromitieren aber um die Problematik einer Firwall in einer VM aufzuzeigen müsste man aus einer VM heraus oder durch den Hypervisor die VM der Firewall kompromitieren. Das ist nicht unmöglich aber schwer, sehr sehr schwer.
https://www.heise.de/forum/heise-online/News-Kommentare/Hacker-brechen-a ...
Wenn jetzt die Firewall VM und die zu schützenden Systeme auf dem selben Hypervisor laufen ist das theoretisch problematisch, da stimme ich dir zu. Allerdings halte ich auch die absolute Sicherheit für Utopie und sehe bei einer Firewall in einer VM (auf einem Level 1 Hypervisor) keine realisistsche Gefahr. Keiner tut absolut alles was geht für die Sicherheit nur um ein Quäntchen mehr Sicherheit zu realisieren (du kommst ja auch nicht auf die Idee jeden Tag dein Passwort zu ändern obwohl es die Sicherheit womöglich in gleicher Maße steigern würde).
Zum Thema Sicherheit der VM hat sich aus gegebenen Anlass im Heise Forum eine aus meiner Sicht lesenswerte Diskussion ergeben. Es ging zwar in dem eigentlichen Artikel/Hack darum aus einer VM auszubrechen und das Host-System zu kompromitieren aber um die Problematik einer Firwall in einer VM aufzuzeigen müsste man aus einer VM heraus oder durch den Hypervisor die VM der Firewall kompromitieren. Das ist nicht unmöglich aber schwer, sehr sehr schwer.
https://www.heise.de/forum/heise-online/News-Kommentare/Hacker-brechen-a ...
1Es wird immer wieder geschrieben, überhaupt hier dass eine Firewall in einer VM ein NoGo ist.
Und das sehe ich auch so.
Nicht immer und nicht überall! Wenn ich ein stark und schnell wachsendes nur eben nicht mit anderen VMs zusammen aufUnd das sehe ich auch so.
einem Blech oder ein und der selben Hardware, das ist dann nicht mehr so lustig und auch eher gefährlich. Aber wenn man
zwei dezidierte (nur für diese Aufgabe abgestellte und genutzte) "Server" hinstellt und dort drauf je eine VM betreibt ist das
in ganz wenigen Situationen sogar förderlich bis hin zu ratsam. Hier mal zwei Beispiele von LANNER dazu;
- FW-8895
- FW-8896
Wo du bzw. ihr allerdings recht habt ist, dass ich mit dem Kauf der Hardware warte bis ich auf pfSense umsteigen.
Eine Hardware auf der beides läuft, also pfSense als Software Firewall (UTM), und Sophos UTM als Software UTMist doch eigentlich ein Gewinn oder nicht?
Wo du allerdings auch recht hast, dass die Größe und auch der Stromverbrauch eher zweitrangig sind.
Bei 300 Leuten und IDS, AV Scan, Proxy, und Antispam, VLANs und QoS sollte es flutschen, je nachdem was Ihr danachnoch vom WAN Durchsatz im LAN benötigt.
Ich dachte allerdings nicht dass wirklich soviel Leistung benötigt wird, da wir ja derzeit mit zwei Kernen (2,4 GHz)
eigentlich locker auskommen.
Eine VM ist keine Installation auf dem Blech und Linux ist nicht FreeBSD! Und jetzt das wichtigste, CPU ist nicht CPU und dahereigentlich locker auskommen.
sind auch Kerne nicht gleich Kerne! Zwei Xeon E5 oder E7 Kerne mit ~3,0GHz sind nicht die Consumer CPU mit ~3,0GHz und
auch Atom Kerne sind keine Core i3, i5 und i7 Kerne!!! Bei der VM kann man einfach mehr RAM und Kerne zuweisen, bei einer
richtigen Installation auf dem Blech sollte sicherlich Reserve vorhanden sein, aber im groben sollte es auch passen.
Ich bzw wir haben jetzt beschlossen mit der Umstellung auf Hardware zu warten bis wir pfSense nehmen.
Vielleicht dann erst 2019, im Öffentlichen Bereich ist alles etwas langsamer
Dann noch ein Tipp von mir dazu, die Intel Xeon D-15x8 Plattform bekommt gerade ein "Facelift" bzw. die zweite GenerationVielleicht dann erst 2019, im Öffentlichen Bereich ist alles etwas langsamer
kommt ca. Mitte dieses Jahres auf den Markt und die können dann alle für "Storage & Network" benutzt werden und sind von
daher etwas flexibler!!! Auch die Funktionen sind dort dann voll angeglichen und es werden wohl richtig gute Board auf den
Markt kommen.
- AES-NI
- Intel QuickAssist
- DPDK & SDPK ready (enabled Software only)
- Intel LAN Ports 2 x 1 GB & 4 x 10 GbE oder SFP+
Gruß
Dobby'
1
Zitat von @Freak-On-Silicon:
Es wird immer wieder geschrieben, überhaupt hier dass eine Firewall in einer VM ein NoGo ist.
Und das sehe ich auch so.
Es wird immer wieder geschrieben, überhaupt hier dass eine Firewall in einer VM ein NoGo ist.
Und das sehe ich auch so.
Nun ja,
es gibt durchaus Szenarien, bei denen der Betrieb einer FW/UTM als VM sinnvoll ist.
Was machst Du z.B. wenn der Hersteller der FW/UTM den Einsatz seiner Lösung ausschließlich auf seiner eigenen HW oder unter Hyper-V/VMWare supportet!?
Das war bei uns im Unternehmen das Thema.
Im Endeffekt haben uns die 2 Dell 1HE Server mit Vor-Ort-Service viel weniger gekostet als 2 dedizierte Hardware UTM's. Noch dazu bei besser Leistung (CPU+RAM) als die Hardware UTM gehabt hätten!
Was natürlich klar ist, dass auf den beiden Hosts ausschließlich die UTM-VM läuft!
Gruß
Dirk
1
