6
Hardwarefirewall mit UTM bzw. NG Funktionalität oder Basisfirewall und besser ausgestatteter Client AV
Hallo,
ich brauch mal ein paar Ratschläge.
Vorab ein Überblick über unsere Umgebung:
ca. 60 Clients mit Windows7 (alles Email Nutzer)
Windows Fileserver
MS Exchange 2010
ca. 8 IPhone Nutzer, 3 Android Nutzer
3-4 Site-2Site-VPN Tunnel zu Lieferanten / Kunden (geringer Traffic)
Evtl. bald eine weitere Site2Site VPN Verbindung zu einem Zweigwerk (Traffic derzeit noch unklar)
Derzeit Routet die Firewall noch zwischen 4 Subnetzen (Traffic gibt es quasi nur zwischen 2 Subnetzen (bissl RDP und ein bissl SQL).
Bisheriger Umgang mit Mails / Internetzugriff der Nutzer
Mails und HTTPS für Outlook Anywhere / ActiveSync werden ungeprüft an den Exchange 2010 weitergeleitet.
Dort läuft eine Mailsecuritysoftware (Gdata) welche auf Viren und Spam prüft und die Mails dann an Port xyz an den passenden Empfangsconnector weiterleitet.
Im Durchschnitt haben wir so 300-400 Spammails die pro Woche aussortiert werden.
Viren kommen natürlich höchst Unterschiedlich per Mail rein - ca. 5-10 pro Woche.
Die Clientsysteme melden so gut wie nie irgendwelche Viren, ab und zu springt der Outlook Schutz an wenn die Mailsecurity eine Mail durchgelassen hat.
Die Nutzer arbeiten i.d.R. sehr verantwortungsbewusst.
Die Clients haben ebenfalls den Gdata Client installiert (Nur Antivirus Lösung)
Wir haben keine Außendienstmitarbeiter welche mit einem Notebook durch die Welt reisen (PPTP VPN wird fast nur von den Admins genutzt)
Updates werden bei uns Zeitnah per Wsus verteilt.
WWW Zugriffsreglementierungen sind derzeit nicht gegeben!
Die Iphones/Android Systeme haben derzeit keinen gesonderten Schutz bei Diebstahl o.ä.
USB Ports werden derzeit auch nicht geprüft/geblockt.
CD Laufwerke sind nicht verbaut.
Ist ja schon recht lang die Liste.. hoffentlich liest das jemand!
Zum Kernthema:
Unsere Firewall ist uralt und muss ausgetauscht werden.
Die Subscript für den Virenscanner läuft bald ab und ich schaue mich derzeit nach anderen Produkten um (kann ja sein, dass andere Hersteller bessere / günstigere Lösungen im Portfolio haben!)
Wir beschäftigen uns nun schon mehrere Monate mit dem Thema Firewall, hatten auch schon Modelle im Test und tendieren zu einer Dell Sonicwall incl. Comprehensive Gateway Lösung für 36 Monate.
Preisregion ca. 5000,- Netto incl. 36Monate Subscriptions und Support im Hardwareausfall.
Dafür ist in der Lösung alles enthalten, Antispam, AV sowie das neue Superthema Deep-Packet-Inspection mit dem die Firewall Hersteller uns das blaue vom Himmel versprechen.
Bei der Recherche für den Virenscanner ist mir aufgefallen, dass viele Hersteller die Funktionen USB-Kontrolle, www Zugriffskontrolle sowie AV- / Spamschutz in die Produkte integriert haben.
Da wir so gut wie keine Viren an den Clients haben (AV aktuell,
Daher frage ich mich, welcher Ansatz für uns der passende ist.
Wie hoch ist die Bedrohungslage bzw. wie nötig ist der NextGen Schutz mit Deep Paket Inspection etc.
Kostet ja schließlich alles Geld und die GF möchte so wenig wie möglich ausgeben.
Teure Firewall / normale AV Lösung sowie USB Managementsoftware und Mobile Device Schutz?
Günstige Firewall mit Basisfunktionalität wie Multi-WAN, VPN / Portforwarding von 25 und 443 an den Exchange sowie AV Lösung mit Exchange Plugin, WWW Reglementierung und USB Management?
Danke für jeden Beitrag und schönes Wochenende
ich brauch mal ein paar Ratschläge.
Vorab ein Überblick über unsere Umgebung:
ca. 60 Clients mit Windows7 (alles Email Nutzer)
Windows Fileserver
MS Exchange 2010
ca. 8 IPhone Nutzer, 3 Android Nutzer
3-4 Site-2Site-VPN Tunnel zu Lieferanten / Kunden (geringer Traffic)
Evtl. bald eine weitere Site2Site VPN Verbindung zu einem Zweigwerk (Traffic derzeit noch unklar)
Derzeit Routet die Firewall noch zwischen 4 Subnetzen (Traffic gibt es quasi nur zwischen 2 Subnetzen (bissl RDP und ein bissl SQL).
Bisheriger Umgang mit Mails / Internetzugriff der Nutzer
Mails und HTTPS für Outlook Anywhere / ActiveSync werden ungeprüft an den Exchange 2010 weitergeleitet.
Dort läuft eine Mailsecuritysoftware (Gdata) welche auf Viren und Spam prüft und die Mails dann an Port xyz an den passenden Empfangsconnector weiterleitet.
Im Durchschnitt haben wir so 300-400 Spammails die pro Woche aussortiert werden.
Viren kommen natürlich höchst Unterschiedlich per Mail rein - ca. 5-10 pro Woche.
Die Clientsysteme melden so gut wie nie irgendwelche Viren, ab und zu springt der Outlook Schutz an wenn die Mailsecurity eine Mail durchgelassen hat.
Die Nutzer arbeiten i.d.R. sehr verantwortungsbewusst.
Die Clients haben ebenfalls den Gdata Client installiert (Nur Antivirus Lösung)
Wir haben keine Außendienstmitarbeiter welche mit einem Notebook durch die Welt reisen (PPTP VPN wird fast nur von den Admins genutzt)
Updates werden bei uns Zeitnah per Wsus verteilt.
WWW Zugriffsreglementierungen sind derzeit nicht gegeben!
Die Iphones/Android Systeme haben derzeit keinen gesonderten Schutz bei Diebstahl o.ä.
USB Ports werden derzeit auch nicht geprüft/geblockt.
CD Laufwerke sind nicht verbaut.
Ist ja schon recht lang die Liste.. hoffentlich liest das jemand!
Zum Kernthema:
Unsere Firewall ist uralt und muss ausgetauscht werden.
Die Subscript für den Virenscanner läuft bald ab und ich schaue mich derzeit nach anderen Produkten um (kann ja sein, dass andere Hersteller bessere / günstigere Lösungen im Portfolio haben!)
Wir beschäftigen uns nun schon mehrere Monate mit dem Thema Firewall, hatten auch schon Modelle im Test und tendieren zu einer Dell Sonicwall incl. Comprehensive Gateway Lösung für 36 Monate.
Preisregion ca. 5000,- Netto incl. 36Monate Subscriptions und Support im Hardwareausfall.
Dafür ist in der Lösung alles enthalten, Antispam, AV sowie das neue Superthema Deep-Packet-Inspection mit dem die Firewall Hersteller uns das blaue vom Himmel versprechen.
Bei der Recherche für den Virenscanner ist mir aufgefallen, dass viele Hersteller die Funktionen USB-Kontrolle, www Zugriffskontrolle sowie AV- / Spamschutz in die Produkte integriert haben.
Da wir so gut wie keine Viren an den Clients haben (AV aktuell,
Daher frage ich mich, welcher Ansatz für uns der passende ist.
Wie hoch ist die Bedrohungslage bzw. wie nötig ist der NextGen Schutz mit Deep Paket Inspection etc.
Kostet ja schließlich alles Geld und die GF möchte so wenig wie möglich ausgeben.
Teure Firewall / normale AV Lösung sowie USB Managementsoftware und Mobile Device Schutz?
Günstige Firewall mit Basisfunktionalität wie Multi-WAN, VPN / Portforwarding von 25 und 443 an den Exchange sowie AV Lösung mit Exchange Plugin, WWW Reglementierung und USB Management?
Danke für jeden Beitrag und schönes Wochenende
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 240305
Url: https://administrator.de/contentid/240305
Printed on: April 19, 2024 at 23:04 o'clock
6 Comments
Latest comment
Hallo,
also meine Aufteilung ist so.
Normale Firewall.
DMZ - Linux Reverse Proxy, Linux Webserver, Linux Spamgateway (Anleitung hab ich hier rein gestellt).
E-Mail Anti Spam Proxy mit CentOS
Virenscanner (Trendmicro Worry Free) mit Exchange Modul, Contentfilter usw. was eben ja eh dabei ist.
Und bei Gelegenheit kommt noch ein normaler Proxy mit Virenfilter auf Linux Basis dazu.
also meine Aufteilung ist so.
Normale Firewall.
DMZ - Linux Reverse Proxy, Linux Webserver, Linux Spamgateway (Anleitung hab ich hier rein gestellt).
E-Mail Anti Spam Proxy mit CentOS
Virenscanner (Trendmicro Worry Free) mit Exchange Modul, Contentfilter usw. was eben ja eh dabei ist.
Und bei Gelegenheit kommt noch ein normaler Proxy mit Virenfilter auf Linux Basis dazu.
Hallo,
also meines Erachtens nach sollte die Frage nicht entweder oder heißen sondern was lässt sich wie am sinnvolsten
miteinander kombinieren.
Einen NG Firewlall mit UTM Eigenschaften wie zum Beispiel die von PaloAlto Networks PA-xx Serie
kann durch aus angeschafft werden und man hat trotz alle dem noch einen guten AV Schutz auf
den Servern und den Klienten wie zum Beispiel von TrendMicro oder ESET.
Bei ständigen und permanenten VPN Verbindungen zu Kunden und Lieferanten, wäre mir
das ausgesprochen peinlich wenn die alle zusammen wegen mir bzw. meinem Umgang mit
diesem Thema alle auf einmal ein ganz dickes Problem bekommen würden.
Also die MS Klienten und Server würde ich alle mit einer Server gestützten AV Lösung ausstatten
und dann falls vorhanden die Linux Server mit ClamAV bestücken.
Und am WAN Bereich würde ich mir mal eine All-in-One Lösung anschauen, eventuell mal von
PaloAlto Networks Erkundigungen einholen, denn die haben alles in einem Paket und die
genießen auch einen hervorragenden Ruf auf diesem Gebiet.
PaloAlto Networks NG-Firewall mit UTM Funktionalität
Normalerweise richtet sich das aber auch immer nach dem Sicherheitsbedürfnis einer
Firma, aber ein kombinierter AV Schutz und eine erhöhte Firewall-Funktionalität
runden das ganze doch erst ab und dann muss man sich später auch keine Vorwürfe
machen lassen, wenn einmal etwas passiert.
Was ist Euch das vertrauen und Euer guter Ruf wert, was passiert wenn Eure Daten
kompromittiert wurden und/oder sogar zerstört wurden?
Gruß
Dobby
also meines Erachtens nach sollte die Frage nicht entweder oder heißen sondern was lässt sich wie am sinnvolsten
miteinander kombinieren.
Einen NG Firewlall mit UTM Eigenschaften wie zum Beispiel die von PaloAlto Networks PA-xx Serie
kann durch aus angeschafft werden und man hat trotz alle dem noch einen guten AV Schutz auf
den Servern und den Klienten wie zum Beispiel von TrendMicro oder ESET.
Bei ständigen und permanenten VPN Verbindungen zu Kunden und Lieferanten, wäre mir
das ausgesprochen peinlich wenn die alle zusammen wegen mir bzw. meinem Umgang mit
diesem Thema alle auf einmal ein ganz dickes Problem bekommen würden.
Also die MS Klienten und Server würde ich alle mit einer Server gestützten AV Lösung ausstatten
und dann falls vorhanden die Linux Server mit ClamAV bestücken.
Und am WAN Bereich würde ich mir mal eine All-in-One Lösung anschauen, eventuell mal von
PaloAlto Networks Erkundigungen einholen, denn die haben alles in einem Paket und die
genießen auch einen hervorragenden Ruf auf diesem Gebiet.
PaloAlto Networks NG-Firewall mit UTM Funktionalität
Normalerweise richtet sich das aber auch immer nach dem Sicherheitsbedürfnis einer
Firma, aber ein kombinierter AV Schutz und eine erhöhte Firewall-Funktionalität
runden das ganze doch erst ab und dann muss man sich später auch keine Vorwürfe
machen lassen, wenn einmal etwas passiert.
Was ist Euch das vertrauen und Euer guter Ruf wert, was passiert wenn Eure Daten
kompromittiert wurden und/oder sogar zerstört wurden?
Gruß
Dobby
Guten Abend,
Erfahrungen mit Sonicwall?
Ansonsten schließe ich mich Dobby an. Auf die IP-Sec-Tunnels wirklich nur IPs zu lassen, die auch Zugang benötigen und nicht das ganze Subnet bzw. Netzwerk.
Wir nutzen an forderste Front die Barracuda NG-Serie. Bieten parallel zu Englisch auch deutschen Support an und der ist 1a.
Grüße,
Dani
Dell Sonicwall incl. Comprehensive Gateway Lösung für 36 Monate.
Layer 7 Firewall - Palo Alto oder SonicWallErfahrungen mit Sonicwall?
(PPTP VPN wird fast nur von den Admins genutzt)
Den Artikel kennst du zu dem Thema?!Ansonsten schließe ich mich Dobby an. Auf die IP-Sec-Tunnels wirklich nur IPs zu lassen, die auch Zugang benötigen und nicht das ganze Subnet bzw. Netzwerk.
Wir nutzen an forderste Front die Barracuda NG-Serie. Bieten parallel zu Englisch auch deutschen Support an und der ist 1a.
Grüße,
Dani
Hallo und Danke für die Beiträge!
Palo Alto ist zu teuer, das krieg ich nicht durch.
die sehr schlechte Erreichbarkeit des Dell Supports konnte ich während der Testphase auch feststellen.
Teileweise dauerte der Rückruf 3 Tage und war dann nicht zufriedenstellend.
Wir haben eine Schulung in Betracht gezogen um nicht auf den Support zurückgreifen zu müssen - was bei Bugs natürlich nicht helfen würde.
Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.
Ich melde mich..
Palo Alto ist zu teuer, das krieg ich nicht durch.
die sehr schlechte Erreichbarkeit des Dell Supports konnte ich während der Testphase auch feststellen.
Teileweise dauerte der Rückruf 3 Tage und war dann nicht zufriedenstellend.
Wir haben eine Schulung in Betracht gezogen um nicht auf den Support zurückgreifen zu müssen - was bei Bugs natürlich nicht helfen würde.
Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.
Ich melde mich..
Hallo,
auf dem Markt was NG Funktionalität angeht und das lassen sie sich eben
auch bezahlen.
Wenn eine Firewall bereits vorhanden ist oder nur eine günstige in Betracht kommt,
könnte man auch auf eine STM Variante zurückgreifen, die ist völlig transparent
hinter der Firewall und filtert dort eben alles durch! Netgear STM
Gruß
Dobby
Palo Alto ist zu teuer, das krieg ich nicht durch.
Oki Doki, ist auch wirklich nicht günstig aber die sind eben auch führendauf dem Markt was NG Funktionalität angeht und das lassen sie sich eben
auch bezahlen.
Wenn eine Firewall bereits vorhanden ist oder nur eine günstige in Betracht kommt,
könnte man auch auf eine STM Variante zurückgreifen, die ist völlig transparent
hinter der Firewall und filtert dort eben alles durch! Netgear STM
Gruß
Dobby
Moin,
Grüße,
Dani
Palo Alto ist zu teuer, das krieg ich nicht durch
Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.
Setz dich auf jeden Fall hin. Ich werde mir die Barracuda Produkte mal genauer ansehen und mich beraten lassen.
Grüße,
Dani
