Layer 7 Firewall - Palo Alto oder SonicWall

Hallo nochmal,

ich selber habe noch nicht mit Sonicwall gearbeitet,
aber das werde ich auch nicht, denn die meisten meiner
Bekannten die das bereits hinter sich haben, lassen
an denen kein gutes Wort und von daher scheiden diese
Firewalls von vorne herein für mich aus.

Das mag zwar sein aber die orientieren sich eben
auch eher an den Firmen die richtig Geld verdienen
und zum Anderen verdienen die Programmierer dort
auch ein gutes Geld und ich meine nicht das dort
Asiaten sitzen die 80 € im Monat verdienen.

...oder würdest Du auf ein ganz anderes Produkt gehen?
Ein einziges wird da wohl weniger etwas bringen,
wenn überhaupt dann muss bzw. sollte man dort
dann schon ein paar andere Sachen mit ins Spiel
bringen.

- Eine UTM mit Antimalware, Antivierus, Antispam & Kontentfilter
- Einen Squid HTTP- Proxy
- Snort (Server & Snesoren) für IDS/IPS
- DPI Appliance hinter der UTM Appliance auf einem eigenen Server

So und wenn man sich dass nun noch einmal genau
anschaut und durchrechnet ist die Palo Alto schon gar
nicht mehr so teuer, allerdings sind natürlich auch hier
wie bei der UTM noch Folgekosten mit einzuplanen.

Das macht man aber denke ich schon an dem ab was
man denn nun wirklich benötigt und/oder die Geschäftsleitung
sehen möchte, da hat man dann eben auch nicht mehr so viele
Auswahlmöglichkeiten meines Erachtens nach, wenn Du mit
der Sonicwall glücklich wirst und sie Dir reicht würde ich Dir das
auch nicht ausreden wollen, nur wenn es schlicht und einfach
um die Leistung und die Sicherheit geht, kommt man im NG
Firewallbereich fast nicht um eine Palo Alto herum, und das
auch schon seit Jahren und nicht erst seit gestern, ohne
das man dort großartig etwas negatives in den Schlagzeilen
zu lesen bekommen hat.

Gruß
Dobby

Moin Phil,
guter Rat: Lass die Finger von Sonicwall. Ich habe unsere Erfahrungen bereits öfters ausführlich hier geschrieben, was da seit einiger Zeit schief läuft.
Solange du keinen Support brauchst ist die Welt in Ordnung. Aber wehe du machst ein Ticket auf: Da rollt der Ball, aber lange. Hängt auch sicherlich mit der Komplexität ab aber das war zum Teil vom 2nd Level unterirdische Leistung. Stellungnahmen sind ein Fremdwort und eine Entschuldigung kam nie.

Bleibendes Beispiel: 2nd Level sucht einen Routingfehler auf einem HA-Cluster. Hat sich per Fernzugang auf die Sonicwall direkt aufgeschalten und gesucht. Das wussten wir auch. eine halbe Stunde melden sich die ersten Benutzer, dass ihre Anwendungen nicht mehr funktionieren. VPN kontrolliert, geschwenkt auf Backupfirewall mit seperaten Backupleitung und und und... am Ende fand das Firewall-Team eine geänderte Route auf dem Cluster vor. Betroffen waren am dem Standort ca. 400 Leute.

Was war passiert: Der Techniker (2nd Level!) hat ohne Info und Rücksprache mit uns einfach eine Route angepasst, weil er der Meinung war, die ist falsch.

Ganz klarer Favorit: Barracuda NG Firewall. Wir werfen dieses Jahr die letzten Sonicwall-Cluster aus unserem Netzwerk. Die haben gerade sehr pfiffige Ansätze was Viren/Malware Protection angeht oder auch VPN Site-2-Site Failover ohne Sessionverlust, etc...

Nachtrag:
Firma mit ca. 100 PCs. Welche Firewall? Cisco? Endian? Sonicwall?
Erfahrungen mit Sonicwall?


Grüße,
Dani

Ließ Dir den bitte Namen doch noch mal genau durch!

Na klingelt es jetzt! Da ist es nicht schade drum.


Gruß
Dobby

Hallo Phil,
wie ist der Stand der Dinge?


Grüße,
Dani

Hallo,
zwar schon etwas alt der Thread aber eventuell liest es noch jemand.
Ich arbeite seit ca. 15 Jahren mit Checkpoint, Juniper, Netscreen u.a.
Von PaloAlto würde ich aus zwei Gründen dringend abraten. Der Preis steht in keinem Verhältnis zur realen Leistung.
Die Oberflächen und CLI's von Checkpoint und Cisco (nicht pix) sind hier deutlich weiter. Auch die Leistung $/MB ist
da besser.
Sonicwall kostet hier ziemlich genau die Hälfte für die gleiche Leistung.

Die Barrakudas sind auch recht nette Firewalls wobei ich da zur Administration wenig sagen kann, habe die nur 1 Woche mal zum Test gehabt.

Hier ist aber die Leistung deutlich geringer als bei den Sonicwalls welche eine sehr nette MultiCore Architektur haben.
Das VxWorks (Windriver) OS auf dem diese basieren ist ein RealTime OS defakto industry leading (millionen von embedded Plattformen)
Sonicwall ist sehr einfach einzurichten und wenn man weniger als 200 Objekte/Regeln hat auch sehr übersichtlich.
Das Failover ist super simple und funktioniert tatsächlich sowohl bei der Hardware als auch bei den Leitungen.

Bei größeren Netzwerken (ab 100Vlans, 500 Objekte, 250 Regeln) würde ich nur zu Cisco oder Checkpoint greifen.

Zudem haben die PaloAlto System dauernd OS Probleme. Nett zum Beispiel das fast immer bei einem Failover die Statfull Connetcion Tabellen Daten nicht komplett übernommen haben.
Zudem sind im neuen Enterprise Report (NSS Labs)die PaloAlto Systeme mit einem Caution versehen!
Die kleinen PaloAltos (unter $5000) sind eine Performance Katastrophe.

IPS Wertung: Cisco Firepower; 99,2%
IPS Wertung Checkpoint 13500 96,4%
IPS Wertung SOnicwall 97,9%
IPS Wertung Barracuda 89,7&
IPS Wertung PaloAlto 60,1% /RPC Fragmentation FAIL, IP Frag+TCP Seg Fail und weiters.

Im Moment bei PaloALto Fingerweg!.

Ich würde sagen bis 200 User (10 Standorte, 5 official Server) Sonicwall oder Barracuda ansonsten nur Checkpoint oder Cisco.

Grüße

Die Daten sind ja auch völlig frisch und bei dem Ärger den man mit anderen
Anbietern hat, kann auch der Klassenprimus mal schwächeln.

@Dani hat auch schon mehrmals glaube ich dazu etwas gepostet.

Ein einziger Xillinx Virtex kostet bis zu ~3.000 €, verbaut doch mal drei davon
einer anderen Firewall und glaubst Du die bietet dann noch jemand für rund
tausend Euronen an? Dafür laufen dann aber auch mal 2.000 Firewall Regeln
und 20.000 IDS/IPS Regeln durch und man merkt es nicht einmal.

Oder die sündhaft teuren Cavium CPUs, die gibt es eben
nicht für umme auf dem Grabbeltisch! Aber dafür stimmt denn der VPN Durchsatz
und das auch im dreistelligen MBit/s oder sogar im GBit/s Bereich.

Die waren mit einer der ersten NG Firewall Anbieter die es gab und haben sich bis Dato
auch gut gegen die Konkurenz verteidigen können und sind nicht einfach verschwunden.

Einfach mal das nächste Jahr abwarten und dann sehen wir weiter.

Gruß
Dobby

Hallo,
na da kommt doch noch im Thread eine nette Diskussion auf.

Ich möchte darauf erst einmal aus der Theorie und dann mit zwei Beispielen aus der Praxis (10G Firewalling und alle dort im Test gehabt zur Entscheidung) antworten.

Hi Phil, ja du hast sehr Recht das wenn man APP Firewall Regeln mit Erkennung für exotischer Fingerprints haben möchte und das in Menge wird’s anstregend und mit Sonicwall sehr unkomfortabel.
Allerdings bin ich auch überhaupt kein Freund von Application Fingerprints als alleinigen Schutz . Als second line of defense sehr cool aber niemals alleine. Das war und ist das Haupteinfallstor der Evasions bei PaloAlto.
Also immer alle Regeln wie gehabt und zusätzlich APP-Id Regeln.

Erstmal zu den kleinen Büchsen.
a) Dafür ist die Oberfläche und das SonicOS super simple bis hin zum Policy Routing ,
b) Regelwerk, Natting, Routing bis policy routing, sowie Multi ISP und dann entsprechenden VPN’s. ist eher auch für sogenannte Anfänger (die nicht Wireshark, TCPdump, Etherpeek und ähnliches täglich verwenden) sehr schnell eingerichtet und läuft.
c) App-Erkennung und Firewalling mit diesen Regeln geht eigentlich so richtig erst ab Sonic OS 6 (also dieses Jahr) und ist mal echt nicht toll einzustellen.
d) Crypto auf non Standard Ports ist zwar etwas friemelig aber läuft dann aber doch.

Allerdings würde ich auch für kleinere Netze wenn er Preis keine Rolle spielt immer zu PaloAlto greifen. Kostet dann aber das drei bis fünfache.

Das mit den Sonicwalls macht ein Kollege von mir und ich habe nicht täglich mit den kleinen Boxen zu tun.


Dobby das du Humor hast finde ich schon mal gut. „Klassenprimus“.

Das ist kein „Ärger“ sondern diese Evasions können der TOT eines ganzen Netzwerkes sein zudem sie keinerlei Eintrag in den Logs der Firewall hinterlassen.

Die Xillinx Virtex sind schicke FPGAS und kostet sogar bis 30K Dollar each. (je nach Modell)
Die sind aber eher für die Modulation innerhalb des Switchings (z.B. 8B/10B
Kodierung/Dekodierung bei LWL) erfunden und haben im Regelfall wenig mit der Firewall auf Layer 7 am Hut.
Diese Cavium CPUs sind nun wirklich nicht neues und tatsächlich auch in allen Sonicwall Boxen für $1000 verbaut.


Das kleinere Netzwerk bei dem ich letze Woche für einen Kollegen QOS für VOIP und ein paar Policy Routen optimiert habe war mit so einer kleinen zwei mal $1500 TZ600 Sonicwall Boxen redundant als active/passive schon recht beeindruckend.
Haupt ISP ist Colt Glasfaser 200Mbit und ein mal 100Mbit Kabel sowie 50Mbit DSL (alle ISP online aktive/aktive/aktive. Bei ca 300Mbit VPN (5 Office site to site und 15 User online) sowie der AV und IPS Kram keine 30-40% Last auf den Prozessoren.
Hier ist die Preis Leistung echt beeindruckend.

Das spannendere Netz welches wir Ende des Monats installieren ist das neue Rechenzentrum in Warschau von FirstData für alle Kreditkarten Operationen ist East Europe.

Hier wird sowohl 10G zwischen den beiden Rechenzentren als auch 10G ins Netz als HA Cluster aktive/aktive/aktive geschaltet.

Dazu hatten wir diese Firewalls im Test. PAN, Checkpoint, Cisco, Juniper, und Sonicwall.
Vorab, die Sonicwall 10000K haben wir erst gar nicht allen Tests unterzogen. Ich weiss wirklich nicht was die mit dem SonicOS in dieser Gewichtsklasse wollen. Übrigens stecken da drin 96 Cavium Kerne.
Vielleicht ist so ein Gerät (Preis eben) geignet wenn ich einen einzelnen Servercluster mit ein paar wenigen Protokollen auf 10G im Datacenter absichern will.

PAN ist nicht nur wegen der Performance sondern auch wegen der AngriffsVektoren leider rausgeflogen.

Zwischen Cisco und Checkpoint wars es dann eine ‚Geschmacksentscheidung‘ und nun werden da vier Checkpoint 13800 installiert, wobei das IDS bei den Cisco Sourcefire allen um eine Technologiestufe voraus ist. (Absolute Transparaenz bei Malware Alerts. Man sieht genau warum und was im Paket los ist.)
Da würde ich gerne auch mal eine FireEye in die Finger bekommen. Dazu hatte ich leider noch keine Gelegenheit.

Wir hacken auch im Auftrag (immer nur den Auftrageber und haben da mit PAN’s schon nette Sachen erlebt.
Als Layer 7 Application Fingerprint Firewall um granuliert große Client Netze zusätzlich abzusichern super aber nie im Datacenter alleine.
Gründe warum dort Checkpoint installiert wird.
a) Performance
Anbei noch ein Real World Test der 70.000 Euro Klasse.
Checkpoint und PAN beide gleich konfiguriert .
PAN: 980MB/S
Checkpoint 3000 MB/S
https://www.youtube.com/watch?v=ke261SNrCLw
Da kommen halt die vielen kleinen MIPS Kerne der PAN an Ihre Grenzen trotz netten Befehlssatz für IP.

Bei der SSL Performance sieht das ganze noch erheblich drastischer aus, hier ist allerdings die Cisco Sourcefire heftig. Locker 5-10 mal schneller bei 2048Bit SSL als alle anderen sowohl bei den TPS als auch bei Mbps (allerdings hat die auch eine dedicated SSL Appliance).
Sogar die Sonicwall war hier deutlich schneller als die PAN.

Hier muss man dringend darauf achten ob man TLS oder SSL traffic hat. Da gibt’s dann heftige Unterschiede zwischen den Herstellern


b) Application Identification (Appid)
Hier ein älteres Video. Wenn ich zuviel über die aktuellen Evasions schreibe bekommen wir vielleicht keine Teststellungen mehr von PAN, aber nur so viel, seit dem 4er OS ist es nicht unbedingt besser geworden.
http://www.you2repeat.com/watch/?v=VTl3gkMOGWA

Appid gibt es schon sehr lange als Technologie in Firewalls aber war damals kein „user controlled feature“.

PAN’s sehe ich eher in Enterprise Centric Umgebungen aber nicht für Datacenter.
Ich bin trotzdem ein recht großer PAN Fan für die Layer 7 inspection, mir persönlich gefällt allerdings die CP functionality einiges besser bei vielen Anwendungsfällen (Management, IDS etc.).

Das große Problem bei APP-ID ist leider immer noch das Cache Poisening.

Bei App-ID wird eine Menge Preprocessing getrieben (Fragementation und Segmentation ,Angriffe haben da immer ein relativ einfaches Spiel).
Der Traffic muss fast immer Bi-directional sein bevor der Fingerprint Ihn einordnen kann (TCP 3 Way Handshake).
Reine APP-Id inspection schaut in nichts hinein jenseits der Application ID.

Die reinen APP-ID Firewall müssten immer den ganzen laufenden Traffic ansehen (wird meistens nicht gemacht, sondern nur ein paar 1000 Bytes ( Stichwort: Start the application connection with something and switch it over later in the stream).

„Unknown Traffic“ an eine APP-ID Firewall senden macht immer großen Spass. (unknown TCP). Dann wird der Traffic meist in den Asic/MPU runtergeschickt und nicht mehr inspected. Auch bei der Benutzung von TOR wird es lustig.

Nach den neuen Patches für Pan OS 6.x erlangt die FW wenigstens knapp das Sonicwallrating bei dem NSS Test. Aber sowas ist für kritische Datacenter ein nogo. Checkpoint erreichte übrigens nach den Patches ein 100% Rating.

Zwei Tips noch.:
Unbedingt Mismatched overlapping TCP segment” protection im Zone Protection profile einschalten bei den PAN’s, ansonsten ist das eigentlich keine Firewall mehr. Auch den Application Cache Abschalten (CLI: set application cache no).
Nun die Performance mit diesen Einstellungen haben wir erst gar nicht mehr getestet.

So nun muss ich aber los.

Grüße

Noch eine kleine Anmerkung zum HA. Bei einem Kunden haben wir NAT für die IPSEC Tunnel mit floating IP. Beim Failovertest werden diese NAT Regeln nie auf den Traffic angewandt. Laut PAN Support bekannt.

Na klar alle sind besser als Palo Alto Networks, nur wie schaffen die es
dann zum vierten Mal in Folge! das sie in Gartners Magic Quadranten
für "Enterprise Network Firewalls" im Feld der "Leader" gelandet sind.

Ja wo sind denn nun Deine ganzen tollen Firewalls?
Und das auch ganz ohne dusselige YouTube Filmchen!

Gruß
Dobby

Hallo Phil,
danke für deinen konstruktiven Kommentar.
Ja diese Sonics sind echt nix für flexible größere Netze, aber für unter 4K Dollar ein Netz mit echten 300-500mbit HA abzusichern ist echt was. Man darf nur keine spezielleren Anforderungen haben. Wenn das Budget frei ist und ich wählen kann dann immer PaloAlto als single Lösung. Wenn ich noch mehr Budget habe und echte Datacenter Security benötige Checkpoint oder Cisco at the front. Danach APP Inspection mit Palo Alto.
Wenn ich wählen muss und mich für eines entscheiden.
Low Cost (unter 20K) Sonicwall, (alles unter 3000 Serie von Palo Alto braucht schon ectrem Geduld).
Über 20K und security reason , Checkpoint oder Cisco.
Über 20K und single Admin Palo Alto.
Über er 50K und mehr Checkpoint, Cisco und dann PaloAlto danach.

Hallo Dobby,

ich denke das kann man aus deinen Kommentaren entnehmen das du ein intelligenter Mensch bist.
Ich kann nichts dafür das du bei PaloAlto arbeitest oder du diese APP Walls in deiner Firma eingekauft hast.
Sie sind technologisch schon spitze nur nicht only als FW Gateway. Seit Pan OS 5.x gibts es diese Evasion Fails,
und nun was soll ich außer im Post oben groß dazu sagen.

Dazu habe ich versucht Beispiele aus dem realen High Secure Umfeld zu bringen.

Ja und es sind nicht meine " ganzen tollen Firewalls" und auch nicht Deine, nebenbei auch nur real live Tests bei den YouTube Filmen.
Ich kann Dir auch gerne Tabellen senden.
Aber nun gut du bist anscheinend beleidigt dabei müsste eigentlich deine Intelligenz dich 'ermahnen'
Du merkst ich gehe auf solche Posts entsprechend unkonstruktiv ein. Du kannst mich gerne zu einen PaloAlto live Hack (nach Tagessatz. oder Pauschal (wenn Datenveränderung und Eindringen erfolgreich ist gibt’s es die Rechnung sonst nicht) einladen.

Du weißt schon welche Parameter Gartner an die Quadranten (übrigens ohne Skala) anlegt?. Mal nen ganzen Report gelesen ?
Revenue, Gross Margin etc.

Wir in der Branche witzeln damit:

I CAN

FIX IT

Vendor: You should buy our product. We’re the best.
Customer: Why are you the best? Are you the fastest or the lowest cost? Why should I buy your product?
Vendor: We’re the best because Gartner says so.

Liebe Grüße und einen hoffentlich anregenden Diskurs.

Nein bei nichten sonst hätte ich hier nicht ein einziges Mal geantwortet!

Wenn dem so wäre würde ich ganz anders argumentiert haben oder gerade deswegen
rein gar nichts dazu erzählt.

Hat Dir einer einen Vorwurf gemacht? Hat das jemand behauptet?
und was wir in der Firma einsetzen ist doch gar nicht Gegenstand der hiesigen
Diskussion und auch sonst nicht von Belang.

Es sind eben NG-Firewalls und nicht mehr aber eben auch nicht weniger und die fangen
in der Regel dort an wo das Pensum der normalen Firewalls erschöpft ist und wo UTMs
nicht mehr reichen und/oder weiter kommen.

Der Legende Deines Avatars nach hast Du bis Dato nur in diesem Beitrag etwas gesagt, oder?
Ich soll Dir doch wohl jetzt nicht schreiben was Du sagen sollst, nach dem Du schon Position
bezogen hast, oder?

????

Du brauchst Dich hier mir gegenüber nicht zu rechtfertigen, so wie andere übrigens auch nicht,
nur wenn jemand eine Frage in einem Forum stellt und ich antworte kannst Du damit zufrieden
sein oder eben auch nicht, nur was das ganze PA Bashing hier soll verstehe ich nicht.

Niemand hat sie, niemand kauft sie und niemand will sie, nur die Firma PA verkauft eben jedes
Jahr immer mehr von ihren Geräten, der Aktienkurs steigt und man wird immer wieder in Gartner
seinem MQ in ein und der selben Ecke namentlich genannt! Komisch oder?

Wenn man auf Youtube Filme sieht die einem ein Produkt oder seine Eigenschaften näher
bringen oder sogar beschreiben und man kann das auch nachvollziehen, ist das in völlig
in Ordnung. Nur wenn man das ganze dort nicht nachvollziehen kann, dann ist der ganze
Film ein Witz!

Du bist hier seit 30.07.2015 Mitglied ich kenne Dich nicht und Du möchtest mir etwas schicken
nach einer kontrovers verlaufenden Diskussion? Hmmm, na ich weiß ja nicht so recht, aber ich
hoffe Du nimmst mir dass nicht übel das ich davon lieber Abstand nehmen möchte.

Naja das kann sicherlich auch schon einmal vorkommen, nur das Du mir nun sagst was ich zu tun habe
oder lassen soll und Dich dann hinter irgend etwas versteckst ist mir auch eigentlich etwas zu suspekt.
Denn wenn ich hier nicht mehr auf irgend welche Fragen antworten soll, kann mir das auch ruhig ein
Admin oder Frank selber sagen und nicht jemanden der sich hier während der Schulferien angemeldet
hat.

Ich denke das ich genau so etwas nicht machen sollte denn es gelten hier in Deutschland seit kurzem
sogar noch mehr verschärfte und veränderte Gesetze. Wenn Du so gut bist warum gehst Du nicht zu
Palo Alto und verdienst dort Dein Geld.

Nein und warum auch?

In meinen Augen bist Du nur ein kleiner Schulferien Troll.

Gruß
Dobby