Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firma mit ca. 100 PCs. Welche Firewall? Cisco? Endian? Sonicwall?

Frage Sicherheit Firewall

Mitglied: mike55

mike55 (Level 1) - Jetzt verbinden

09.08.2010, aktualisiert 21:37 Uhr, 9982 Aufrufe, 15 Kommentare

Welche von den ganzen Firewalls ist zu empfehlen?

Hallo und guten Abend,

Ich bin auf der Suche nach einer Firewall, hinter der sich 100 Clients und ein paar Server befinden sollen. Alleine auf Administrator.de habe ich dazu über 10 Artikel durchgelesen, trotzdem wurde ich nicht viel schlauer. Deshalb Frage ich mal, ob mir jemand empfehlen kann, was das beste für mich ist.

Gewünschte Funktionen im Groben:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
Mächtiges Contentfiltering, Proxy wäre super
Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Zwei WAN-Verbindungen verwaltbar.

Ich dachte dabei hauptsächlich an Cisco oder Endian (ipcop basierende Appliance). Erfahrung habe ich leider mit beiden nicht.

Was meint ihr dazu?

Danke und gute Nacht,

Michael.
Mitglied: 45877
09.08.2010 um 21:47 Uhr
Hallo,

die erste Frage waere die nach dem Budget und was für einen
Durchsatz du braucht (z.B. bei VPN) und ob du beim VPN spezielle
Wünsche hast. Ansonsten würd ich auch noch Astaro und Fortinet
in den Ring schicken bzw. PfSense wenn es nicht zwingend ne Appliance
sein muss...
Bitte warten ..
Mitglied: Pjordorf
09.08.2010 um 21:49 Uhr
Hallo Michael,

Zitat von mike55:
VPN, Für VPN-Verbindungen sollte man Firewall-Regeln definieren können.
VPN passthrough oder als VPN Server dienen?

Mächtiges Contentfiltering, Proxy wäre super
Application Layer Gateway?

Eventuell Virenscanner für Downloads. (Als zusätzlicher Schutz, Virenscanner auf PCs bereits vorhanden)
Welchen Hersteller der Antivirenscnanner solls den sein?

Zwei WAN-Verbindungen verwaltbar.
Nur verwaltbar oder auch nutzbar? DUAL WAN, Backup oder was?

Erfahrung habe ich leider mit beiden
nicht.
Nimm doch einen Hersteller mit dem du schon erfahrung gemacht hast. Womit hast du denn Erfahrung? Musst du die nur verkaufen oder auch selbst einrichten und betreuen?

Natürlich gibt es noch weitere Fragen, hier nur ein paar.
Welcher datendurchsatz muss die "Firewall" in welcher richtung können?
wie viele VPN's werden benötigt?
Welcher VPN soll es sein?
Wird eine echte DMZ benötigt oder nicht?

Peter
Bitte warten ..
Mitglied: aqui
09.08.2010 um 23:05 Uhr
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu ansiehst sollte dir das auch schnell klar werden !
Bitte warten ..
Mitglied: mike55
09.08.2010 um 23:23 Uhr
Hallo und danke für eure Beiträge, und ... Entschuldigung für meine ungenaue Fragestellung.

Also ich muss sie nicht verkaufen, leider ;). Ich muss sie kaufen und auch administrieren. Budget liegt so bei 7.000€ maximal. Die Firewall soll als VPN-Server dienen. Zu Beginn sollten 4 Netz zu Netz und 2 - 3 gleichzeitige Pc zu Netz Verbindungen hergestellt werden. Später werden es dann eher mehr als weniger werden. VPN-Durchsatz wird am Anfang nicht mehr als 4 Mbit/s in beiden Richtungen sein, denn mehr gibt die bestellte synchrone 4Mega Internetverbindung nicht her. Und je nach VPN-Verbindung möchte ich auch sagen können, welche Ports offen sind. Z.b. Von der Außenstelle kommend sind alle Ports offen, vom Kunden kommend sind nur die unbedingt benötigten Ports offen. Das Sahnehäubchen wäre dann noch wenn ich für jede VPN eine Art DMZ machen könnte, also dass beispielsweise die vom Kunden kommende VPN nur auf einen Computer in der DMZ zugreifen darf. Dafür müsste dann die Firewall mehrere DMZ machen können, weiß leider noch nicht ob ein solche Szenario dann überhaupt möglich ist.
Es kommen dann zwei WAN-Verbindungen, eine wie gesagt 4Mega synchrone Linie, welche nur für VPN und Emails verwendet werden soll, und eine normale 8Mega Linie, über welcher dann der restliche Traffik geschickt werden soll. Eine dritte billigere Backup-Verbindung finde ich auch sinnvoll, wäre dann aber wieder das Sahnehäubchen. Den Hersteller der Antivierenlösung finde ich nicht so wichtig, da ja bereits ein Vierenscanner besteht ist das nur als eine zusätzliche Sicherheit gedacht, was auch nicht zwingend ist.

Recht viel Erfahrung in diesem Bereich kann ich leider nich vorzeigen. Bezüglich Einrichtung verhandle ich mit dem Lieferant, ob er das machen kann.

Vielen Dank schon inzwischen für eure Antworten.

@aqui: Sorry, du hast recht. Es basiert nicht darauf, es ist eine Weiterentwicklung davon. Artikel aus Wikipedia:
Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet.



Michael.
Bitte warten ..
Mitglied: Dextha
10.08.2010 um 06:50 Uhr
Hi Michael,

wie bereits chewbakka meinte, würd ich mir Astarto ansehen... sollte im Budget liegen und kann alles was du brauchst....

LG. Dextha
Bitte warten ..
Mitglied: Mengi86
10.08.2010 um 08:27 Uhr
Servus,

also ich kann die Astaro auch wärmstens empfehlen!

LG
Bitte warten ..
Mitglied: harald21
10.08.2010 um 08:34 Uhr
Hallo,

wenn du noch keine Erfahrung hast, so kann ich dir eigentlich eine Fortinet-Firewall nur empfehlen, das Webinterface ist wirklich sehr übersichtlich und logisch aufgebaut.

Auch die Performance stimmt, für 100 User + einige Server mit 4 Mbit/s würde ich grob schätzen, das eine FG-200B aureichen sollte (evtl ist mit deinem Budget sogar ein HA-Cluster drin). Das Gerät hat 8 Gbit-Ports, die frei verwendet werden können(LAN, WAN bzw. DMZ), Details findest du hier: http://www.fortinet.com/products/fortigate/200B.html

Den Content kannst du auf Viren scannen (Fortinet entwickelt die Signaturen selbst), das kostet dann aber eine järliche Gebühr, ist aber als zusätzlicher Schutz sehr sinvoll, Gescannt werden können die Protokolle http, https, ftp, smtp, smtps, pop3, pop3s, imap und imaps.
Site-to-Site VPN's kannst du als IPSec realisieren, Client-to Sie-VPN's als SSL-VPN oder mittels PPTP.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Neomatic
10.08.2010 um 09:49 Uhr
Hallo,

bei den Anforderungen bin ich auch der Meinung das du dir mal die Astaro Geräte anschauen solltest.


Gruß

Neomatic
Bitte warten ..
Mitglied: 45877
10.08.2010 um 10:51 Uhr
Zitat von aqui:
Endian ist nicht IPCop basierend ! Das ist ein Trugschluss bzw. Fehlinformation ! Wenn du dir die Endian Webseite dazu
ansiehst sollte dir das auch schnell klar werden !


Der Ursprung der Endian Firewall ist die Linux-Firewall IPCop, welche ihrerseits eine Abspaltung von Smoothwall ist. Bedingt durch zahlreiche Weiterentwicklungen wird laut Endian gegenwärtig nur noch ein Fünftel des ursprünglichen IPcop-Code verwendet. Beispielsweise nutzt Endian heute den RPM Package Manager, was eine vereinfachte Wartung mit sich bringt und häufige langwierige Kompilierzeiten, wie sie bei LFS-basierten Distributionen wie IPcop üblich sind, vermeidet. Neuere Versionen basierten zunächst auf Linux From Scratch und ab Version 2.2 auf RHEL[1] bzw. auf CentOS[2]. Mit der kommenden Version 3.0 soll die Endian Firewall praktisch "Smoothwall-" und "IPcop-frei" werden.

https://secure.wikimedia.org/wikipedia/de/wiki/Endian_Firewall#Geschicht ...
Bitte warten ..
Mitglied: Der-Phil
10.08.2010 um 12:04 Uhr
Hallo,

Astaro ist sicher nicht schlecht, aber ich würde mir wirklich überlegen, ob ein Proxy auf der Firewall etwas zu suchen hat...

Ich bin inzwischen eher der Verfechter von getrennten Geräten, was in Deinem Budget auch absolut kein Problem sein sollte.
Dementsprechend würde ich:

- einen IPSEC-Router nehmen, der auch Firewalling macht, z.B. Funkwerk R1200, Mikrotik, m0n0wall, etc.
- einen Squid-Proxy mit HAVP oder Dansguardian und beliebigem Virenscanner zum Contentscanning

Das Ganze ist robust und flexibel.

Ein virenscannender Proxy verursacht recht viel Last und könnte die Stabilität eines Kombisystems nicht gerade positiv beeinflussen.

Phil, der früher ein Kombigerät hatte...
Bitte warten ..
Mitglied: Dani
10.08.2010 um 22:58 Uhr
Hi Michi,
wir setzen bei uns im Netzwerk die Cisco ASA's ein bzw. bei Tochterfirmen vermehrt Sonicwall NSA3xxx Serien ein.

Da du mit Cisco nichts am Hut hast, würde ich dir raten es auch dabei zulassen. Für den Einstieg nicht geeignet.
Mit der Sonicwall sind wir sehr zufrieden bzw. auch unsere Kunden. Schnurrt wie ein Kätzchen und läuft und läuft. Wichtig ist dort eben, dass du ca. weisst was an (VPN)-Datenverkehr durchlaufen soll. Das solltest du aber bei jeder Firewall berücksichtigen.

Ich sag mal so, die großen Hersteller schenken sich von der Funktion "Firewall" nicht mehr viel. Da machen eher die Services darum den feinen Unterschied. Bei Sonicwall kannst du das Ganze z.B. auch managen lassen.
Contentfilter, Spamfilter, Antiviren/Spamfilter, etc... ist natürlich auch immer eine Kostenfrage und was ihr von den Funktionen bisher im Firmennetz über andere Hardware / Software abbildet. Was für dich "passt" ist aus der Ferne nicht verbindlich zu sagen!


Grüße,
Dani
Bitte warten ..
Mitglied: itelis
16.08.2010 um 12:11 Uhr
Hallo in die Runde,

die Tips mit endian, Astaro etc. sind sicherlich gut gemeint. Aber wie sieht es mit der Bedienbarkeit aus?
Wie Michael schreibt, hat er keine Erfahrung im Umgang mit Firewalls.

Hier gibt es nur eine wirkliche Alternative - gateprotect.
- Deutscher Hersteller mit Sitz in Hamburg
- Extrem einfache Bedienung, auch für Firewallanfänger
- Total simples Einrichten von VPN und DMZ etc.
- Deutscher Support
- Schnelle Reaktionszeiten

- Firewall und UTM- bzw Proxyserver können auch getrennt werden.

Schau dir mal die Firewall unter www.gateprotect an. Hier findest du auch einen voll funktionsfähigen Offlineclient zum testen und herumspielen.
Preise gibt`s unter www.firewallshop24.de

Gruß

Marc
Bitte warten ..
Mitglied: BDS-ChrBo
16.08.2010 um 13:59 Uhr
... ich würde mir mal die Palo Alto Firewalls anschauen ....

http://www.paloaltonetworks.com/

Die Dinger sind wirklich genial und kostentechnisch mit einer ähnlichen Astaro vergleichbar

Wenn keine Kenntnisse in der Konfiguration vorhanden sind kann ich nur folgende münchner Firma empfehlen http://www.indevis.de.

Grüße

Chris
Bitte warten ..
Mitglied: mike55
17.08.2010 um 16:44 Uhr
Hallo Leute,

vielen herzlichen Dank für die ganzen Posts.

Hab mir mittlerweile alle erwähnten Geräte angesehen, auch die Meinung von Phil habe ich mir zu Herzen genommen. (Deine Meinung leuchtet mir ein). Dennoch habe ich mich für ein kombiniertes Gerät entschieden, und zwar ist die Wahl auf Endian gefallen.

Was sprach für Endian?
Die Weboberfläche ist innovativ, zwar nicht so wie bei gateprotect aber dennoch innovativer als bei Astaro.
Bei der Astaro bekam ich die Fehlermeldung "Unknown Error", als ich die Online-Demo getestet habe. (Sehr schlechte Werbung für Astaro). Endian lief bei allen meinen Aktionen stabil. (Ich hoffe das bleibt auch so)
Funktionsumfang in etwa gleich.
Endian ist ein Produkt aus Europa.
Gateprotect ist innovativ, das muss ich sagen, habe sie mir aber nur kurz angesehen, da ich die Endian schon bestellt habe. Ist Gateprotect auch Plattformunabhängig oder läuft das nur unter Windows? Gibt's dort auch eine Weboberfläche?

Danke nochmals für eure Hilfe!

Grüße
Michael.
Bitte warten ..
Mitglied: itelis
17.08.2010 um 16:55 Uhr
Hallo Michael,

Eine Weboberfläche wird es für gateprotect bald geben. Derzeit ist der Client auf die Windowsoberfläche gebunden.
Für erfahrene Administratoren gibt es die Möglichkeit der Programmierung über die Shell.

Richtig genial wird die Bedienung und das Monitoring durch das gateprotect Command Center. Hier ist die Verwaltung von bis zu 500 Appliances möglich.

Ich wünsche dir viel Erfolg mit der Endian.

Gruß

Marc
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
Sonicwall TZ 100 und VPN Abbrüche (7)

Frage von Azubine zum Thema Firewall ...

Windows Netzwerk
gelöst Firma mit 8 PCs über Server einrichten (14)

Frage von Maddobs zum Thema Windows Netzwerk ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...