Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neuanschaffung Firewall Cisco ASA oder Watchguard Firebox

Frage Sicherheit Firewall

Mitglied: dol123

dol123 (Level 1) - Jetzt verbinden

09.09.2008, aktualisiert 11.09.2008, 9287 Aufrufe, 8 Kommentare

Bin auf der Suche nach einer neuen Firewall für unsere Firma und bräuchte mal etwas Hilfe

Unser Netzwerk besteht aus 2 Win2003 Server - Mails erhalten wir von der Telekom per SMTP auf unseren Mailserver zugestellt. VPN wird nur von mir genutzt, um
per Fernwartung auf 3 Heimarbeitsplätze und eine kleine Aussenstelle zuzugreifen.

Hab mich schon durch dieses Forum gelesen und meine Auswahl auf die Cisco AFA 5510 oder die Watchguard Firebox X550 eingeschränkt. Die kleineren / günstigeren
Modelle von Cisco oder Watchguard kann ich leider nicht nehmen, da ein Virenscanner auf/an der Firewall gewünscht wird (und so weit ich das verstehe bei den kleineren Geräten
nicht vorhanden ist. Die Erstkonfiguration (inkl. Einweisung) würde jeweils durch den Fachhändler erfolgen - nur künftige Änderung würde ich selber vornehmen.

Nun hätte ich gerne eure Meinung zu den beiden Geräten - ist die Cicso nicht nur teuerer sondern auch besser? So viel ich gelesen habe, ist die Watchguard nicht nur billiger
sondern auch wesentlich einfacher zu konfigurieren/bedienen, was mir auch wichtig wäre.

Gibt es weitere alternativen zu diesen beiden Geräten? Die Kostenlosen Linux-Firewalls scheiden leider aus, da ich nicht die Zeit habe mich da einzuarbeiten.
Für die Endian hätte ich ein Angobt von einem örtlichen Systemhaus.

Bin für jede Hilfe dankbar!

MfG
dol123
Mitglied: brammer
09.09.2008 um 14:32 Uhr
Hallo,

da die Preise der beiden nicht soweit auseinander liegen solltest du überlegen was besser in deine Infrastruktur passt.
Brauchst du für die Administration eine Schulung oder kennst du dich mit Cisco Geräten aus ?
Bietet dir Watchguard den entsprechenden Service bei Ausfall, und was kostet der Spass!
(Bei allen Fragen kann man auch die Hersteller namen gegeneinander austauschen)
Ich kenne die Watchguard nicht wirklich, habe aber nichts schlechtes gehört. Bei der ASA hast du aber nach meinem Wissen mehr Möglichkeiten zur Fein Einstellung.
Letzten Endes fast schon Geschmackssache.

brammer
Bitte warten ..
Mitglied: Rafiki
09.09.2008 um 15:27 Uhr
Eine Cisco ASA Firewall zu konfigurieren ist nicht einfach! Anfänger haben insbesondere mit den VPN Verbindungen viele Probleme. Der Grundkursus bei Cisco - (alt: SNPA, neu:SNAF) dauert 5 Tage.

Im Vergleich dazu ist die Firebox sehr einfach zu konfigurieren. Mit der grafischen Oberfläche kommt man nach wenigen Stunden gut zurecht. Grundkenntnisse was eine IP Adresse von einer Port Adresse unterscheidet einmal vorausgesetzt. Ich empfehle dir mal deinen Händler zu besuchen und dann setz dich mit einem Techniker mal 1 Stunde vor die Watchguard. Insbesondere wenn du wenig Zeit für die Firewall hast sollte das ein wichtiger Punkt sein.

Einen Virusscanner in die Firewall einzubauen bedeutet bei beiden Modellen das die Performance für Emails und Internetsurfen massiv einbricht. Nach meiner Meinung ist der Virusscanner auf einem ProxyServer bzw. dem EmailServer besser aufgehoben. Watchguard selber sagt, dass der smtp proxy / http proxy eine hohe Last auf der Firewall verursacht. Besser nur den Paketfilter verwenden.

Bei beiden Anbietern muss man häufig (ca. monatlich?) die Software auf der Firewall aktualisieren wenn wieder neue Lücken gefunden werden. Dafür ist ein Wartungsvertrag erforderlich.

Ich persönlich habe schlechte Erfahrungen mit der deutschen Hotline von Watchguard gemacht, da ich erst viel zu spät zurückgerufen wurde, falsche oder unsinnige Antworten bekam oder man mir erklärt hat Watchguard in den USA könnte das nur beheben. Deshalb such dir bitte einen Händler der qualifizierte Techniker hat und vereinbare einen Stundensatz für Support. Wenn dein Händler fitt ist können die sogar regelmäßig deine Firewall aktualisieren. Das setzt allerdings ein hohes Maß an Vertrauen in den Händler vorraus.

Gruß Rafiki
Bitte warten ..
Mitglied: Deepsys
09.09.2008 um 15:37 Uhr
Hi,

ich kenne nur die Watchguard Fireboxen und finde die recht angenehm und recht einfach zu administrieren.
Auf jeden Fall solltest du dir bei Watchguard nicht die LiveSecurity sparen, damit hast du Support über die Webseite.

Dazu kann ich allerdings im Gegensatz zu Rafiki nichts Schlechtes sagen, allerdings benutze ich immer den englische Support über die LiveSecurity. Und der antwortet meist immerhalb von Stunden. Bei einer Anfrage heute, noch nicht mal eine Stunde !!


Aber ich stimme auch Rafiki zu, such dir einen guten Händler, da doch am Anfang öfter mal fragen auftreten und da wäre es schade die 5 Support-Calls der LiveSecurity zu verballern

Ich denke, für dich wäre die Watchguard sicher nicht falsch, aber ich kenne die Cisco nicht.
Wir haben übrigens mittlerweile 4 Fireboxen und mehrere Edge und bisher keine größeren Probleme.

VG
deepsys
Bitte warten ..
Mitglied: dol123
09.09.2008 um 15:54 Uhr
Danke für die schnellen Antworten.

Damit wäre die Cisco schon mal aus dem rennen - 5 Tage Seminar nur um eine Firewall zu konfigurieren ist leicht übertrieben.

Wenn ich die AntiViren-Lösung nicht brauche, könnt ich doch auch nur ein Watchguard FBX10 oder FBX20 nehmen. Oder spricht bei ca. 12 User mit Internetzugang plus den o.g. VPNs was dagegen??

Zum Thema Virenscanner of Proxy: welchen würdet ihr empfehlen?

Jemand Erfahrung mit der kostenpflichtigen Endian Firewall?

MfG
dol123
Bitte warten ..
Mitglied: 51705
09.09.2008 um 20:59 Uhr
Hallo dol123,

vielleicht etwas OT...

Firewall ist ja ein dehnbarer Begriff. In deinem Fall scheint ein Gateway mit Firewall-Funktionen gesucht. Als Gateway bevorzuge ich Geräte, welche so intelligent wie nötig, aber auch so dumm wie möglich sind. Das reduziert in meinen Augen die Angriffsfläche. Das läuft also auf einen Router mit NAT, Portfilter, SIF und evtl. VPN hinaus. Alle höheren Netzwerkschichten sollten auf einem nachgelagerten Proxy implementiert werden.

Virenscanner möchte ich nicht auf einem Router betreiben.

Grüße, Steffen
Bitte warten ..
Mitglied: micky74
09.09.2008 um 22:43 Uhr
Hallo,
Du hast zwar schon eine Menge Antworten bekommen, einen kleinen vielleicht nützlichen "Senf" kann ich noch dazugeben.
Wir haben seit über einem Jahr die WG X-Edge20e im Einsatz und seit kurzem mit interiertem Virenscanner und WebFilter (UTM Bundle) der Preis für das Gerät ist unschlagbar ~500€ HW + 200€ für die UTM Lizenz inkl. 1 Jahr LiveSecurity.
Perfomance Einbußen kann ich bislang nicht feststellen und der Suport (1 Fall bislang) war Top.
Wichtige Einschränkung der Edge Reihe: Konfiguration nur über Web-Interface. Recht intuitiv aber die Konfiguration und Überwachung über die SW der Core und Peak Reihe bietet wesentlich mehr.

Viel Erfolg bei der Entscheidungsfindung!

Micky
Bitte warten ..
Mitglied: dol123
10.09.2008 um 08:44 Uhr
Erstmal DANKE an alle fürs Antworten!

Die Watchguard X-Edge20e wäre von Preis / Leistung her derzeit erste wahl. Auch wegen der einfachen Art
der Konfiguration.Sie sollte ja unsere Zwecke ja auchausreichen. Nur das mit den verschiedenen VPN Lizenzen
hab ich noch nicht ganz verstanden. Bezieht sich die Anzahl auf gleichzeitig aktive VPN-Verbindungen oder
kann ich nicht mehr Verbindungen einrichten?

Derzeit nutze ich Haupsächlich die "Windows-VPN" welche man unter Netzwerkumgebungen einrichten kann.
Fällt diese überhaupt in eine der drei VPN-Lizenz-Arten ( Branch Office VPN, Mobile User Tunnel IPSec, Mobile
User Tunnel SSL) ??

MfG
dol123
Bitte warten ..
Mitglied: Deepsys
11.09.2008 um 08:15 Uhr
Hi,

also:
Branch Office VPN sind permante VPN-Verbindungen zwischen zwei VPN-Gateway/Firewalls

Mobile User Tunnel IPSec: ist ein "Einwahl-VPN" das IPSec benutz.Dafür benötigst du eine Client-Software. Gibt es von WG umsonst. Steht zwar Watchguard drauf ist aber von der Firma NCP. Würde ich bevorzugen

Mobile User Tunnel SSL: ist ein "Einwahl-VPN" das SSL benutzt.Dafür benötigst du auch eine Client-Software. Gibt es auch von WG umsonst.

Eine Sache noch, die "kleinen" Edge bieten viel weniger Möglichkeiten als die Fireboxen, vor allem mit dem Optionalen Interfacen kannst du damit viel weniger machen !!!
NUR für den Internet-Zugang oder eine Außenstellenanbindung ist die Edge ausreichend, für mehr würde ich immer eine Firebox nehmen.

Sprich das vorher mit deinem Händler durch.

Noch was vergessen, mit Windows-VPN meinst du wahrscheinlich PPTP-VPN, das kann eine Firebox auch, aber ich würde das lieber per IPSec und dem Client machen. Das geht gut und ist sicher (hoffe ich ).

VG
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200
gelöst Frage von mario87Windows Netzwerk11 Kommentare

Hallo zusammen, unser Netzwerk ist langsam aber sicher voll. Es handelt sich um ein Class C-Netz. Nun soll eine ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Firewall
Gibt es für die Watchguard Firebox x500 noch Updates?
gelöst Frage von therfistFirewall1 Kommentar

Hallo, Gibt es für die Watchguard Firebox x500 noch Updates? Wenn nicht wann wurde der Support eingestellt? Danke, finde ...

Batch & Shell
Plink auf Cisco ASA Firewall. Session bleibt offen?
Frage von AlbertMinrichBatch & Shell5 Kommentare

Hallo, ich möchte auf unserer ASA Firewall per plink einen ping-Befehl absetzen. Auf unseren Switchen (alle von -Cisco, z.B. ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...