Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firma mit ca. 100 PCs. Welche Firewall? Cisco? Endian? Sonicwall?

Mitglied: mike55

mike55 (Level 1) - Jetzt verbinden

09.08.2010, aktualisiert 21:37 Uhr, 10199 Aufrufe, 15 Kommentare

Welche von den ganzen Firewalls ist zu empfehlen?

Hallo und guten Abend,

Ich bin auf der Suche nach einer Firewall, hinter der sich 100 Clients und ein paar Server befinden sollen. Alleine auf Administrator.de habe ich dazu über 10 Artikel durchgelesen, trotzdem wurde ich nicht viel schlauer. Deshalb Frage ich mal, ob mir jemand empfehlen kann, was das beste für mich ist.

Gewünschte Funktionen im Groben:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
Mächtiges Contentfiltering, Proxy wäre super
Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Zwei WAN-Verbindungen verwaltbar.

Ich dachte dabei hauptsächlich an Cisco oder Endian (ipcop basierende Appliance). Erfahrung habe ich leider mit beiden nicht.

Was meint ihr dazu?

Danke und gute Nacht,

Michael.
Mitglied: 45877
09.08.2010 um 21:47 Uhr
Hallo,

die erste Frage waere die nach dem Budget und was für einen
Durchsatz du braucht (z.B. bei VPN) und ob du beim VPN spezielle
Wünsche hast. Ansonsten würd ich auch noch Astaro und Fortinet
in den Ring schicken bzw. PfSense wenn es nicht zwingend ne Appliance
sein muss...
Bitte warten ..
Mitglied: Pjordorf
09.08.2010 um 21:49 Uhr
Hallo Michael,

Zitat von mike55:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
VPN passthrough oder als VPN Server dienen?

Mächtiges Contentfiltering, Proxy wäre super
Application Layer Gateway?

Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Welchen Hersteller der Antivirenscnanner solls den sein?

Zwei WAN-Verbindungen verwaltbar.
Nur verwaltbar oder auch nutzbar? DUAL WAN, Backup oder was?

Erfahrung habe ich leider mit beiden
nicht.
Nimm doch einen Hersteller mit dem du schon erfahrung gemacht hast. Womit hast du denn Erfahrung? Musst du die nur verkaufen oder auch selbst einrichten und betreuen?

Natürlich gibt es noch weitere Fragen, hier nur ein paar.
Welcher datendurchsatz muss die "Firewall" in welcher richtung können?
wie viele VPN's werden benötigt?
Welcher VPN soll es sein?
Wird eine echte DMZ benötigt oder nicht?

Peter
Bitte warten ..
Mitglied: aqui
09.08.2010 um 23:05 Uhr
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu ansiehst sollte dir das auch schnell klar werden !
Bitte warten ..
Mitglied: mike55
09.08.2010 um 23:23 Uhr
Hallo und danke für eure Beiträge, und ... Entschuldigung für meine ungenaue Fragestellung.

Also ich muss sie nicht verkaufen, leider ;). Ich muss sie kaufen und auch administrieren. Budget liegt so bei 7.000€ maximal. Die Firewall soll als VPN-Server dienen. Zu Beginn sollten 4 Netz zu Netz und 2 - 3 gleichzeitige Pc zu Netz Verbindungen hergestellt werden. Später werden es dann eher mehr als weniger werden. VPN-Durchsatz wird am Anfang nicht mehr als 4 Mbit/s in beiden Richtungen sein, denn mehr gibt die bestellte synchrone 4Mega Internetverbindung nicht her. Und je nach VPN-Verbindung möchte ich auch sagen können, welche Ports offen sind. Z.b. Von der Außenstelle kommend sind alle Ports offen, vom Kunden kommend sind nur die unbedingt benötigten Ports offen. Das Sahnehäubchen wäre dann noch wenn ich für jede VPN eine Art DMZ machen könnte, also dass beispielsweise die vom Kunden kommende VPN nur auf einen Computer in der DMZ zugreifen darf. Dafür müsste dann die Firewall mehrere DMZ machen können, weiß leider noch nicht ob ein solche Szenario dann überhaupt möglich ist.
Es kommen dann zwei WAN-Verbindungen, eine wie gesagt 4Mega synchrone Linie, welche nur für VPN und Emails verwendet werden soll, und eine normale 8Mega Linie, über welcher dann der restliche Traffik geschickt werden soll. Eine dritte billigere Backup-Verbindung finde ich auch sinnvoll, wäre dann aber wieder das Sahnehäubchen. Den Hersteller der Antivierenlösung finde ich nicht so wichtig, da ja bereits ein Vierenscanner besteht ist das nur als eine zusätzliche Sicherheit gedacht, was auch nicht zwingend ist.

Recht viel Erfahrung in diesem Bereich kann ich leider nich vorzeigen. Bezüglich Einrichtung verhandle ich mit dem Lieferant, ob er das machen kann.

Vielen Dank schon inzwischen für eure Antworten.

@aqui: Sorry, du hast recht. Es basiert nicht darauf, es ist eine Weiterentwicklung davon. Artikel aus Wikipedia:
Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet.



Michael.
Bitte warten ..
Mitglied: Dextha
10.08.2010 um 06:50 Uhr
Hi Michael,

wie bereits chewbakka meinte, würd ich mir Astarto ansehen... sollte im Budget liegen und kann alles was du brauchst....

LG. Dextha
Bitte warten ..
Mitglied: Mengi86
10.08.2010 um 08:27 Uhr
Servus,

also ich kann die Astaro auch wärmstens empfehlen!

LG
Bitte warten ..
Mitglied: harald21
10.08.2010 um 08:34 Uhr
Hallo,

wenn du noch keine Erfahrung hast, so kann ich dir eigentlich eine Fortinet-Firewall nur empfehlen, das Webinterface ist wirklich sehr übersichtlich und logisch aufgebaut.

Auch die Performance stimmt, für 100 User + einige Server mit 4 Mbit/s würde ich grob schätzen, das eine FG-200B aureichen sollte (evtl ist mit deinem Budget sogar ein HA-Cluster drin). Das Gerät hat 8 Gbit-Ports, die frei verwendet werden können(LAN, WAN bzw. DMZ), Details findest du hier: http://www.fortinet.com/products/fortigate/200B.html

Den Content kannst du auf Viren scannen (Fortinet entwickelt die Signaturen selbst), das kostet dann aber eine järliche Gebühr, ist aber als zusätzlicher Schutz sehr sinvoll, Gescannt werden können die Protokolle http, https, ftp, smtp, smtps, pop3, pop3s, imap und imaps.
Site-to-Site VPN's kannst du als IPSec realisieren, Client-to Sie-VPN's als SSL-VPN oder mittels PPTP.

mfg
Harald
Bitte warten ..
Mitglied: Neomatic
10.08.2010 um 09:49 Uhr
Hallo,

bei den Anforderungen bin ich auch der Meinung das du dir mal die Astaro Geräte anschauen solltest.


Gruß

Neomatic
Bitte warten ..
Mitglied: 45877
10.08.2010 um 10:51 Uhr
Zitat von aqui:
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu
ansiehst sollte dir das auch schnell klar werden !


Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch "Smoothwall-" und "IPcop-frei" werden.

https://secure.wikimedia.org/wikipedia/de/wiki/Endian_Firewall#Geschicht ...
Bitte warten ..
Mitglied: Der-Phil
10.08.2010 um 12:04 Uhr
Hallo,

Astaro ist sicher nicht schlecht, aber ich würde mir wirklich überlegen, ob ein Proxy auf der Firewall etwas zu suchen hat...

Ich bin inzwischen eher der Verfechter von getrennten Geräten, was in Deinem Budget auch absolut kein Problem sein sollte.
Dementsprechend würde ich:

- einen IPSEC-Router nehmen, der auch Firewalling macht, z.B. Funkwerk R1200, Mikrotik, m0n0wall, etc.
- einen Squid-Proxy mit HAVP oder Dansguardian und beliebigem Virenscanner zum Contentscanning

Das Ganze ist robust und flexibel.

Ein virenscannender Proxy verursacht recht viel Last und könnte die Stabilität eines Kombisystems nicht gerade positiv beeinflussen.

Phil, der früher ein Kombigerät hatte...
Bitte warten ..
Mitglied: Dani
10.08.2010 um 22:58 Uhr
Hi Michi,
wir setzen bei uns im Netzwerk die Cisco ASA's ein bzw. bei Tochterfirmen vermehrt Sonicwall NSA3xxx Serien ein.

Da du mit Cisco nichts am Hut hast, würde ich dir raten es auch dabei zulassen. Für den Einstieg nicht geeignet.
Mit der Sonicwall sind wir sehr zufrieden bzw. auch unsere Kunden. Schnurrt wie ein Kätzchen und läuft und läuft. Wichtig ist dort eben, dass du ca. weisst was an (VPN)-Datenverkehr durchlaufen soll. Das solltest du aber bei jeder Firewall berücksichtigen.

Ich sag mal so, die großen Hersteller schenken sich von der Funktion "Firewall" nicht mehr viel. Da machen eher die Services darum den feinen Unterschied. Bei Sonicwall kannst du das Ganze z.B. auch managen lassen.
Contentfilter, Spamfilter, Antiviren/Spamfilter, etc... ist natürlich auch immer eine Kostenfrage und was ihr von den Funktionen bisher im Firmennetz über andere Hardware / Software abbildet. Was für dich "passt" ist aus der Ferne nicht verbindlich zu sagen!


Grüße,
Dani
Bitte warten ..
Mitglied: itelis
16.08.2010 um 12:11 Uhr
Hallo in die Runde,

die Tips mit endian, Astaro etc. sind sicherlich gut gemeint. Aber wie sieht es mit der Bedienbarkeit aus?
Wie Michael schreibt, hat er keine Erfahrung im Umgang mit Firewalls.

Hier gibt es nur eine wirkliche Alternative - gateprotect.
- Deutscher Hersteller mit Sitz in Hamburg
- Extrem einfache Bedienung, auch für Firewallanfänger
- Total simples Einrichten von VPN und DMZ etc.
- Deutscher Support
- Schnelle Reaktionszeiten

- Firewall und UTM- bzw Proxyserver können auch getrennt werden.

Schau dir mal die Firewall unter www.gateprotect an. Hier findest du auch einen voll funktionsfähigen Offlineclient zum testen und herumspielen.
Preise gibt`s unter www.firewallshop24.de

Gruß

Marc
Bitte warten ..
Mitglied: BDS-ChrBo
16.08.2010 um 13:59 Uhr
... ich würde mir mal die Palo Alto Firewalls anschauen ....

http://www.paloaltonetworks.com/

Die Dinger sind wirklich genial und kostentechnisch mit einer ähnlichen Astaro vergleichbar

Wenn keine Kenntnisse in der Konfiguration vorhanden sind kann ich nur folgende münchner Firma empfehlen http://www.indevis.de.

Grüße

Chris
Bitte warten ..
Mitglied: mike55
17.08.2010 um 16:44 Uhr
Hallo Leute,

vielen herzlichen Dank für die ganzen Posts.

Hab mir mittlerweile alle erwähnten Geräte angesehen, auch die Meinung von Phil habe ich mir zu Herzen genommen. (Deine Meinung leuchtet mir ein). Dennoch habe ich mich für ein kombiniertes Gerät entschieden, und zwar ist die Wahl auf Endian gefallen.

Was sprach für Endian?
Die Weboberfläche ist innovativ, zwar nicht so wie bei gateprotect aber dennoch innovativer als bei Astaro.
Bei der Astaro bekam ich die Fehlermeldung "Unknown Error", als ich die Online-Demo getestet habe. (Sehr schlechte Werbung für Astaro). Endian lief bei allen meinen Aktionen stabil. (Ich hoffe das bleibt auch so)
Funktionsumfang in etwa gleich.
Endian ist ein Produkt aus Europa.
Gateprotect ist innovativ, das muss ich sagen, habe sie mir aber nur kurz angesehen, da ich die Endian schon bestellt habe. Ist Gateprotect auch Plattformunabhängig oder läuft das nur unter Windows? Gibt's dort auch eine Weboberfläche?

Danke nochmals für eure Hilfe!

Grüße
Michael.
Bitte warten ..
Mitglied: itelis
17.08.2010 um 16:55 Uhr
Hallo Michael,

Eine Weboberfläche wird es für gateprotect bald geben. Derzeit ist der Client auf die Windowsoberfläche gebunden.
Für erfahrene Administratoren gibt es die Möglichkeit der Programmierung über die Shell.

Richtig genial wird die Bedienung und das Monitoring durch das gateprotect Command Center. Hier ist die Verwaltung von bis zu 500 Appliances möglich.

Ich wünsche dir viel Erfolg mit der Endian.

Gruß

Marc
Bitte warten ..
Ähnliche Inhalte
Firewall
Sonicwall TZ 100 und VPN Abbrüche
Frage von AzubineFirewall7 Kommentare

Hallo, folgender Sachverhalt: Eine VPN Verbindung zwischen Standort A und B. Beide Seiten nutzen eine Sonicwall. DIe VPN Verbindung ...

Firewall
Endian Firewall Aktivierung UTM Mini
gelöst Frage von horstvogelFirewall3 Kommentare

Hallo, ich habe hier eine Endian Firewall, unser "Star Admin" hat das Passwort vergessen oder angeblich nie gehabt. Der ...

Windows Netzwerk

Firma mit 8 PCs über Server einrichten

gelöst Frage von MaddobsWindows Netzwerk14 Kommentare

Hallo, ich bin im Bereich Windows Server noch relativ unerfahren, daher dachte ich, dass ich diese Frage mal ins ...

Firewall

Endian Firewall (EFW) als Virtuelle Maschine im ESXi

gelöst Frage von mitternachtssurferFirewall10 Kommentare

Hallo liebe Administratoren, ich habe eine Frage zum Thema Sicherheit was meine Firewall angeht. Erstmal zum Überblick: Ich richte ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 5 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 18 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 18 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 21 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...