21
Firewall für Mittelstand
Suche eine zuverlässige Firewall für eine Betrieb von 25 Mitarbeitern.
Hallo,
ich bin auf der Suche nach einer vernünftigen Hardware Firewall für unseren Betrieb. (25 Mitarbeiter)
ich bin kein Fachmann auf diesem Gebiet und muß mich deshalb auf die Kompetenz Dritter verlassen
Wir würden gerne folgende features abdecken:
- VPN Clients
- Webfilterung (Facebook Games, XXX Seiten, etc)
- Virenschutz
- Mailschutz (Spam/Virus)
- Eine Voice Over IP Anlage ist geplant aber noch nicht im Einsatz
- 2,4 Up / Down DSL vorhanden
Intern setzen wir einen Exchange Server (SBS 2003) ein und einen lokalen Linux Webserver.
Nun habe ich verschiedene Angebote bekommen, die ziemlich widersprüchich sind!
Angebot A:
Astaro ASG 120 + Web Security + Mail Security (je 3 jahre) => 4900 Euro
Angebot B:
Fortinet 50B Bundle => 500 Euro
Das nenne ich mal einen krassen Unterschied. Vorallem weil Anbieter A meint, die Astaro Kiste sei eventuell noch ein Tick zu klein für 25 Mitarbeiter!
Drehen die einen mir Mist an oder die anderen überteuerte Features, die ich nicht benötige?
Danke für eure Hilfe
ich bin auf der Suche nach einer vernünftigen Hardware Firewall für unseren Betrieb. (25 Mitarbeiter)
ich bin kein Fachmann auf diesem Gebiet und muß mich deshalb auf die Kompetenz Dritter verlassen
Wir würden gerne folgende features abdecken:
- VPN Clients
- Webfilterung (Facebook Games, XXX Seiten, etc)
- Virenschutz
- Mailschutz (Spam/Virus)
- Eine Voice Over IP Anlage ist geplant aber noch nicht im Einsatz
- 2,4 Up / Down DSL vorhanden
Intern setzen wir einen Exchange Server (SBS 2003) ein und einen lokalen Linux Webserver.
Nun habe ich verschiedene Angebote bekommen, die ziemlich widersprüchich sind!
Angebot A:
Astaro ASG 120 + Web Security + Mail Security (je 3 jahre) => 4900 Euro
Angebot B:
Fortinet 50B Bundle => 500 Euro
Das nenne ich mal einen krassen Unterschied. Vorallem weil Anbieter A meint, die Astaro Kiste sei eventuell noch ein Tick zu klein für 25 Mitarbeiter!
Drehen die einen mir Mist an oder die anderen überteuerte Features, die ich nicht benötige?
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177473
Url: https://administrator.de/contentid/177473
Printed on: April 19, 2024 at 02:04 o'clock
21 Comments
Latest comment
Hi!
wennst die Fortigate nimmst; dann nimm lieber die 60C gibts auch mit VoIP.
sg Dirm
wennst die Fortigate nimmst; dann nimm lieber die 60C gibts auch mit VoIP.
sg Dirm
Hallo,
also die Fortigate ist abolut kein mist das sind klasse Geräte. Ich selbst habe davon schon mehrere eingerichtet und die laufen problemlos. Die Geräte können all deine Anforderungen erfüllen und sind wesentlich günstiger.
Diese Astaro find ich völlig übertrieben. Das muss nicht sein. Vielleicht bei 150 Benutzern oder noch mehr dann könnte Sie sinn machen aber bei so wenigen auf keinen Fall.
Such dir eine Fortigate aus die sind gut ung günstig.
also die Fortigate ist abolut kein mist das sind klasse Geräte. Ich selbst habe davon schon mehrere eingerichtet und die laufen problemlos. Die Geräte können all deine Anforderungen erfüllen und sind wesentlich günstiger.
Diese Astaro find ich völlig übertrieben. Das muss nicht sein. Vielleicht bei 150 Benutzern oder noch mehr dann könnte Sie sinn machen aber bei so wenigen auf keinen Fall.
Such dir eine Fortigate aus die sind gut ung günstig.
Ich kann dir Watchguard empfehlen, liegen preislich über Fortigate und bieten auch alle entsprechenden Features (bei 3Y Subsc, rund 1500 EUR), 4900 EUR ist schon ein stolzer Preis für 25 Leute 
- wir planen gerade eine HA Lösung von Watchguard - allerdings für 250+ Leute
- wir planen gerade eine HA Lösung von Watchguard - allerdings für 250+ Leute
Hallo,
nur mal am Rande es gibt auch zuverlässige OpenSource Firewalls (ipfire...), die du auf einem kleinen MiniPC laufen lassen kannst. Diese können das oben genannte ebenfalls abdecken.
Die "Hardware" Firewalls sind auch nur ein Stück Software auf Hardware
Gruß
nur mal am Rande es gibt auch zuverlässige OpenSource Firewalls (ipfire...), die du auf einem kleinen MiniPC laufen lassen kannst. Diese können das oben genannte ebenfalls abdecken.
Die "Hardware" Firewalls sind auch nur ein Stück Software auf Hardware
Gruß
Hallo marinux,
die Idee mit Opensource FW finde ich grundsätzlich nicht schlecht.
Aber ich denke, hier ist das keine Alternative. So wie ich den Kollegen verstande habe, handelt es sich um eine Kleine Firma (25 Leute). Die haben keinen Vollzeitadmin,
der sich mit der Pflege beschäftigen kann.
Ich denke, hier ist eine rundumsorglospaket vorzuziehen. Wers dann wird ist eigentlich zielich egal.
Die Kiste in die Ecke stellen und nach 3 Monaten vergessen, dass man so eine hat denke ich ist hier ehe das Prinzip.
Ob Watchguead, Fortigate oder Astaro ist hier eine reine Preisfrage, Funktionell nehmen sich die Kisten nicht viel.
Wichtige ist, eine Partner zu finden, dem man vertraut und der ohne viel tamtam auf der Matte steht, wenn es ein Problem mit der Verbindung nach draußen gibt.
Also eher ein paas Euros mehr investieren und einen Partner über der Straße haben, der ohne große Anfahrtskosten da ist und das Ding wieder zum fliegen bringt,
als 250 € in der Anschaffung gespart und nur Probleme, weil die Anfahrt über 3 Stunden dauert und 150 € + Arbeitszeit kostet.
Gruß
Anton
die Idee mit Opensource FW finde ich grundsätzlich nicht schlecht.
Aber ich denke, hier ist das keine Alternative. So wie ich den Kollegen verstande habe, handelt es sich um eine Kleine Firma (25 Leute). Die haben keinen Vollzeitadmin,
der sich mit der Pflege beschäftigen kann.
Ich denke, hier ist eine rundumsorglospaket vorzuziehen. Wers dann wird ist eigentlich zielich egal.
Die Kiste in die Ecke stellen und nach 3 Monaten vergessen, dass man so eine hat denke ich ist hier ehe das Prinzip.
Ob Watchguead, Fortigate oder Astaro ist hier eine reine Preisfrage, Funktionell nehmen sich die Kisten nicht viel.
Wichtige ist, eine Partner zu finden, dem man vertraut und der ohne viel tamtam auf der Matte steht, wenn es ein Problem mit der Verbindung nach draußen gibt.
Also eher ein paas Euros mehr investieren und einen Partner über der Straße haben, der ohne große Anfahrtskosten da ist und das Ding wieder zum fliegen bringt,
als 250 € in der Anschaffung gespart und nur Probleme, weil die Anfahrt über 3 Stunden dauert und 150 € + Arbeitszeit kostet.
Gruß
Anton
Ich würde dir auch zur FortiGate raten, ich musste mich zwar etwas umgewöhnen, weil ich vorher nur mit der OpenSource-Schiene und LANCOM zu tun hatte, aber mittlerweile komm ich damit klar. Das Regelkonzept ist etwas gewöhnungsbedürftig.
Preislich ist die Kiste einfach genial. Ich hab damals eine Kiste mit Subscription sowie 3 Jahre Subscription-Erweiterung genehmigen lassen und hab dann für den gleichen Preis zwei Kisten bekommen. Beides 60C.
Leichter Nachteil: Die Filterlisten vom Contentfilter sind nicht die besten. Ganz am Anfang war es so, dass man auf facebook.com nicht draufkam, aber über de.facebook.com hatte man Zugriff. Dafür hat man die Möglichkeiten, das Reaktionsverhalten zu beeinflußen. Also es gibt nicht nur digitales Blocken, sondern man kann für bestimmte Seiten Zeitkontingente freigeben, nach deren Ablauf man nicht mehr auf die jeweilgen Seiten kommt. Das kann IP-basiert oder benutzerbasiert (aus dem AD heraus) laufen. Ebenso kann man die Filterlisten über AD-Gruppen zuweisen.
Ebenfalls hab ich das SSL-VPN mit einer 2-Factor-Auth im Einsatz. Sehr angenehme Sache.
Preislich ist die Kiste einfach genial. Ich hab damals eine Kiste mit Subscription sowie 3 Jahre Subscription-Erweiterung genehmigen lassen und hab dann für den gleichen Preis zwei Kisten bekommen. Beides 60C.
Leichter Nachteil: Die Filterlisten vom Contentfilter sind nicht die besten. Ganz am Anfang war es so, dass man auf facebook.com nicht draufkam, aber über de.facebook.com hatte man Zugriff. Dafür hat man die Möglichkeiten, das Reaktionsverhalten zu beeinflußen. Also es gibt nicht nur digitales Blocken, sondern man kann für bestimmte Seiten Zeitkontingente freigeben, nach deren Ablauf man nicht mehr auf die jeweilgen Seiten kommt. Das kann IP-basiert oder benutzerbasiert (aus dem AD heraus) laufen. Ebenso kann man die Filterlisten über AD-Gruppen zuweisen.
Ebenfalls hab ich das SSL-VPN mit einer 2-Factor-Auth im Einsatz. Sehr angenehme Sache.
Hallo,
hab neuerdings auch eine Gateprotect im einsatz.
Gut sicher kein Vergleich zu meiner ASA von Cisco aber absolut einfach zum einrichten und macht nen guten Eindruck.
Hab allerdings keine Langzeiterfahrung.
hab neuerdings auch eine Gateprotect im einsatz.
Gut sicher kein Vergleich zu meiner ASA von Cisco aber absolut einfach zum einrichten und macht nen guten Eindruck.
Hab allerdings keine Langzeiterfahrung.
Vielen Dank für die Ratschläge.
Es muss schon eine echte Hardware Firewall sein. Meine Linux Kenntnisse reichen bei weitem nicht aus, um eine sichere Firewall zu bauen ;)
Was ist den der genaue Unterschied zwischen der 50b und 60c ?
Der Durchsatz und was noch?
Können beide mit Voip umgehen?
Die Astaro scheidet für mich also gerade aus. Fand den Preis eh recht habig.
Es muss schon eine echte Hardware Firewall sein. Meine Linux Kenntnisse reichen bei weitem nicht aus, um eine sichere Firewall zu bauen ;)
Was ist den der genaue Unterschied zwischen der 50b und 60c ?
Der Durchsatz und was noch?
Können beide mit Voip umgehen?
Die Astaro scheidet für mich also gerade aus. Fand den Preis eh recht habig.
Hi!
Die 60C hat einen neu entwickelten Chip drinn (ok vor einem Jahr war der neu). und einen GbE Switch
VoIP Anlage kann glaub ich nur die FortiGate Voice-80C spielen.
Mit einer extra VoIP Anlage können alle umgehen. Wenn du einfach nur durch die FW telefonieren willst, dann geht das ohne große Konfig. gibt aber auch die möglichkeit einiges zu konfigurieren (teilweise per CLI).
Ein netter Punkt bei FGT ist auch, dass sie alle das gleiche FortiOS haben, d.h. wenn du mal eiune zweite, kleinere oder größere dazu bekommst, schauen die Menüs gleich aus.
sg Dirm
Die 60C hat einen neu entwickelten Chip drinn (ok vor einem Jahr war der neu). und einen GbE Switch
VoIP Anlage kann glaub ich nur die FortiGate Voice-80C spielen.
Mit einer extra VoIP Anlage können alle umgehen. Wenn du einfach nur durch die FW telefonieren willst, dann geht das ohne große Konfig. gibt aber auch die möglichkeit einiges zu konfigurieren (teilweise per CLI).
Ein netter Punkt bei FGT ist auch, dass sie alle das gleiche FortiOS haben, d.h. wenn du mal eiune zweite, kleinere oder größere dazu bekommst, schauen die Menüs gleich aus.
sg Dirm
Also erlich gesagt währ mir der Partner wiederum soetwas von egal.
Als Admin sollte man doch mit seinen Komponenten selbst umgehen können und nicht jedes mal gleich den Support rufen.
Die Hardware selbst darf nur nicht zum Ausfall neigen.
Als Admin sollte man doch mit seinen Komponenten selbst umgehen können und nicht jedes mal gleich den Support rufen.
Die Hardware selbst darf nur nicht zum Ausfall neigen.
Das sehe ich ähnlich. Ich bin aber Softwareentwickler und kein Vollzeit-Admin ;)
Basiswissen habe ich aber wenn es um schwierigere Probleme geht, habe ich gerne einen kompetenten Partner in der Nähe.
Basiswissen habe ich aber wenn es um schwierigere Probleme geht, habe ich gerne einen kompetenten Partner in der Nähe.
Gut bei Teilzeit seh ich's grad noch ein wenig ein,
Ich machte das ganze auch mal Teilzeit, wir war's aber lieber alles selbst zu machen als Sekretärin zu spielen und Probleme einfach nur irgendwelchen Hotlines zu melden, aber anderes Thema.
Dan schau dir mal die Gateprotect an.
Da kannst du deine Regeln relativ schon in nem Diagramm zusammenziehen.
Ich machte das ganze auch mal Teilzeit, wir war's aber lieber alles selbst zu machen als Sekretärin zu spielen und Probleme einfach nur irgendwelchen Hotlines zu melden, aber anderes Thema.
Dan schau dir mal die Gateprotect an.
Da kannst du deine Regeln relativ schon in nem Diagramm zusammenziehen.
Von meiner Seite aus kann ich ebenfalls die Fortigates wärmstens empfehlen, aus eigener Erfahrung. Die Leistung ist für so eine (preislich) kleine Box enorm (1 Gbit/s firewalling). Deine Anforderungen sind schon gehoben, aber das FortiOS kann so was. Wie gesagt, die gleiche FortiOS Version läuft auf allen Modellen, einmal angelernt kann man auch größere Firewalls beherrschen.
Der Unterschied zwischen 50B und 60C ist ganz einfach: die 50B ist ein Auslaufmodell mit max. 50 Mbit/s Durchsatz. Die kleine CPU und das begrenzte RAM waren vor 5 Jahren noch adäquat, heute geht das nicht mehr. Diesen Durchsatz schafft sie auch nur, wenn man kein AV oder IPS macht, aber wer will schon darauf verzichten? Die 60C ist ziemlich neu, per Hardware-Beschleunigung (ASICs) mit sehr gutem Durchsatz. Fortinet bringt gerade eine Reihe neuer Firewalls heraus, die zum gleichen Preis sehr viel mehr Leistung bringen. Vielleicht lohnt es sich, noch einen Monat zu warten.
Der Unterschied zwischen 50B und 60C ist ganz einfach: die 50B ist ein Auslaufmodell mit max. 50 Mbit/s Durchsatz. Die kleine CPU und das begrenzte RAM waren vor 5 Jahren noch adäquat, heute geht das nicht mehr. Diesen Durchsatz schafft sie auch nur, wenn man kein AV oder IPS macht, aber wer will schon darauf verzichten? Die 60C ist ziemlich neu, per Hardware-Beschleunigung (ASICs) mit sehr gutem Durchsatz. Fortinet bringt gerade eine Reihe neuer Firewalls heraus, die zum gleichen Preis sehr viel mehr Leistung bringen. Vielleicht lohnt es sich, noch einen Monat zu warten.
Moin,
schau Dir doch auch mal ipcop an. Ist ein fertiges, kostenloses Linux-System und wird nach der (relativ einfachen) Installation über eine Web-Oberfläche eingerichtet.
Bis zu 25 Mitarbeitern gut brauchbar, allerdings weiß ich nicht auswendig, ob alle Funktionen beinhaltet sind, die Du brauchst.
1x eingerichtet läuft das Ding und muss nicht mehr großartig administriert werden.
schau Dir doch auch mal ipcop an. Ist ein fertiges, kostenloses Linux-System und wird nach der (relativ einfachen) Installation über eine Web-Oberfläche eingerichtet.
Bis zu 25 Mitarbeitern gut brauchbar, allerdings weiß ich nicht auswendig, ob alle Funktionen beinhaltet sind, die Du brauchst.
1x eingerichtet läuft das Ding und muss nicht mehr großartig administriert werden.
Moin,
wir setzen seit Jahren Watchguard ein und haben gerade aktuell ein Upgrade von einer X-550e auf eine XTM-520 gemacht.
Gab es für rund 1.700,- im Aktions-Bundle als Trade-In mit allen Optionen und "Pro"-Option. Hinter der XTM-520 arbeitet zusätzlich die Trend-Micro
Business Advanced Suite sowie DeviceLock als End-to-End Security.
Netzwerk: 40 interne User, etliche Smartphones sowie Mobile User
Branche: Automotive Zulieferer Fahrzeugdichtungssysteme
Anforderung: Application Content Filtering bei WEB 2.0 Anwendungen
Hatte mir alternativ SonicWall und Astaro angesehen, aber was man einmal gewöhnt ist...
wir setzen seit Jahren Watchguard ein und haben gerade aktuell ein Upgrade von einer X-550e auf eine XTM-520 gemacht.
Gab es für rund 1.700,- im Aktions-Bundle als Trade-In mit allen Optionen und "Pro"-Option. Hinter der XTM-520 arbeitet zusätzlich die Trend-Micro
Business Advanced Suite sowie DeviceLock als End-to-End Security.
Netzwerk: 40 interne User, etliche Smartphones sowie Mobile User
Branche: Automotive Zulieferer Fahrzeugdichtungssysteme
Anforderung: Application Content Filtering bei WEB 2.0 Anwendungen
Hatte mir alternativ SonicWall und Astaro angesehen, aber was man einmal gewöhnt ist...
Hallo in die Runde,
wie ich der Diskussion entnehmen kann, ist eine einfache Lösung gefragt. Ohne komplizierte Konfiguration und ohne hohen technischen Aufwand.
Meiner Meinung nach, gibt es daher derzeit nur eine passende Lösung für diese Aufgabe. Eine gateprotect Firewall. Wir haben bereits seit 8 Jahren bei vielen Hundert Kunden diese Firewalls im Einsatz. Alle Admins sind sofort völlig begeistert wenn sie die total simple Bedienoberfläche sehen (Auch Admins mit mehreren hundert Usern oder Admins die von Cisco o. ä. gewechselt sind).
Einfach mal auf die Seite von gateprotect schauen. Hier kann man einen Democlient herunterladen und eine virtuelle Firewall konfigurieren. Das gibt einen guten Einblick in die einfache Bedienoberfläche.
Die Preisgestaltung von gateprotect ist auch noch relativ moderat.
Viel Spaß beim Testen.
Gruß
Marc
wie ich der Diskussion entnehmen kann, ist eine einfache Lösung gefragt. Ohne komplizierte Konfiguration und ohne hohen technischen Aufwand.
Meiner Meinung nach, gibt es daher derzeit nur eine passende Lösung für diese Aufgabe. Eine gateprotect Firewall. Wir haben bereits seit 8 Jahren bei vielen Hundert Kunden diese Firewalls im Einsatz. Alle Admins sind sofort völlig begeistert wenn sie die total simple Bedienoberfläche sehen (Auch Admins mit mehreren hundert Usern oder Admins die von Cisco o. ä. gewechselt sind).
Einfach mal auf die Seite von gateprotect schauen. Hier kann man einen Democlient herunterladen und eine virtuelle Firewall konfigurieren. Das gibt einen guten Einblick in die einfache Bedienoberfläche.
Die Preisgestaltung von gateprotect ist auch noch relativ moderat.
Viel Spaß beim Testen.
Gruß
Marc
Mehrere davon bei Kunden im Einsatz: Gateprotect. Guter Support und kosten nicht die Welt. Schön Klickibunti, eigentlich realtiv trivial einzurichten.
EDIT: gerade egsehen das mein Vorredner auch dies FW empfohlen hat!
EDIT: gerade egsehen das mein Vorredner auch dies FW empfohlen hat!
Wir verwenden die gateProtect auch bei mehreren Kunden.
Die Konfiguration ist wirklich sehr einfach und bei Problemen
hatte ich bisher immer einen sehr kompetenten Support.
Würde die auf jeden Fall empfehlen
Die Konfiguration ist wirklich sehr einfach und bei Problemen
hatte ich bisher immer einen sehr kompetenten Support.
Würde die auf jeden Fall empfehlen
Schon mal an eine vernünftige Hardwarelösung von LANCOM gedacht?
Mit der Content Filter Option, genau das richtige für dich...
http://lancom-systems.de
Die geräte sind einfach gut, kostenloser Deutscher Support, kostenlose Updates
und jegliche Szenarios sind simpel zu konfigurieren.
Ich arbeite selbst mit Lancom Geräten und es gibt nichts, was ich damit nicht
erreichen konnte. Preis- Leistung ist auch absolut gerechtfertigt.
Mit der Content Filter Option, genau das richtige für dich...
http://lancom-systems.de
Die geräte sind einfach gut, kostenloser Deutscher Support, kostenlose Updates
und jegliche Szenarios sind simpel zu konfigurieren.
Ich arbeite selbst mit Lancom Geräten und es gibt nichts, was ich damit nicht
erreichen konnte. Preis- Leistung ist auch absolut gerechtfertigt.
Ich könnte noch Securepoint empfehlen, da:
- schöne Features (alle oben genanten und vieles mehr.)
- günstig
- einfach einzurichten auch von nicht "Vollzeitadmins"
Lancom ist eigentlich auch mein Favorit den wir am meisten einsetzen, jedoch meistens nur bei reinen VPN Tunneln etc. gerade bei der Filterung von Inhalten und Viren / Spam etc. verrichten die Securepoint Produkte sehr gute Arbeit, haben wir selbst hinter einem Lancom im Einsatz wegen SSL-VPN etc.
Bei der Einrichtung sind die Securepoint Produkte bei einigen punkten einfacher einzurichten als die von Lancom wie ich finde.
MfG
Christian
P.S.: Wir sind u.a. Securepoint Partner....
- schöne Features (alle oben genanten und vieles mehr.)
- günstig
- einfach einzurichten auch von nicht "Vollzeitadmins"
Lancom ist eigentlich auch mein Favorit den wir am meisten einsetzen, jedoch meistens nur bei reinen VPN Tunneln etc. gerade bei der Filterung von Inhalten und Viren / Spam etc. verrichten die Securepoint Produkte sehr gute Arbeit, haben wir selbst hinter einem Lancom im Einsatz wegen SSL-VPN etc.
Bei der Einrichtung sind die Securepoint Produkte bei einigen punkten einfacher einzurichten als die von Lancom wie ich finde.
MfG
Christian
P.S.: Wir sind u.a. Securepoint Partner....
Wir haben uns schlussendlich für eine Fortigate 60C entschieden uns bisher nicht bereut.
Installation und Regelerstellung ist recht simpel.
Nur die Einstellung des IP Adressraumes für die VPN Nutzer musste über die Konsole geändert werden. Alles andere funktioniert prima über due Web UI
Vielen Dank für Eure Hilfe!
Installation und Regelerstellung ist recht simpel.
Nur die Einstellung des IP Adressraumes für die VPN Nutzer musste über die Konsole geändert werden. Alles andere funktioniert prima über due Web UI
Vielen Dank für Eure Hilfe!
