Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Frank am 25.03.2011 um 11:30:28 Uhr
Der Beitrag ist eine Frage und kein Erfahrungsbericht. Erfahrungsbericht bitte nur auswählen, wenn man einen schreiben will und nicht, wenn man einen sucht.

NG Firewall - Palo Alto Networks

Frage Sicherheit Firewall

Mitglied: Marc2106

Marc2106 (Level 1) - Jetzt verbinden

24.03.2011, aktualisiert 25.03.2011, 9930 Aufrufe, 3 Kommentare

Erfahrungsberichte Palo Alto Networks

Guten morgen zusammen.

Ich hoffe mein Post ist hier richtig. Mich würde mal interessieren, ob schon irgendwer Erfahrungen mit der NG Firewall von Palo Alto Networks gemacht hat.
Wir haben die PA-500 im Einsatz, meines Erachtens ist das Gerät genial und das Preismodell passt einfach.

Also ich wäre sehr an einem Erfahrungsaustausch interessiert.


Viele Grüße, Marc
Mitglied: tasteofchaos
06.10.2011 um 10:20 Uhr
Hallo Marc!

Wir haben aktuell die PA-500 im Test und ich muss sagen, dass ich wirklich begeistert bin.
Ich habe noch nie eine so intuitive und übersichtliche Firewall gesehen.

Leider stören mich folgende Punkte:
- Handling in der Weboberfläche ist bei der 500er zäh - relativ lange Wartezeiten bis eine Änderung angenommen wird
- es gibt aktuell noch keine Boxen für kleinere Außenstellen

Das Preismodell allerdings stößt bei mir auf Unverständnis. 8000€ für eine Box mit allen Lizenzen (was ja ok wäre), da ich HA benötige, kostet die zweite Box beinahe nochmal dasselbe, da sie voll lizenziert werden muss. Das wird der Hauptgrund sein, wieso wir keine PaloAlto kaufen werden, da ich das nicht einsehe. Sollte die Box Aktiv - Aktiv laufen wäre das ok, aber nicht bei Aktiv-Passiv. Die zweite Box würde ja nur zum Einsatz kommen, wenn die erste ausfällt.

Wie viele User habt ihr im Einsatz und wie sind die Erfahrungen im Echtbetrieb?

Schöne Grüße
Thomas
Bitte warten ..
Mitglied: Marc2106
06.10.2011 um 23:04 Uhr
Hallo Thomas,

vielen Dank für Deinen Beitrag. Ich weis gar nicht wo ich anfangen soll zu schwärmen, denn seit dem ich damals hier die Frage ins Forum gestellt habe, hab ich sehr viele Erfahrungen im Echtbetrieb mit der PaloAlto sammeln können....
Das Preismodell ist im Vergleich zu Astaro & Co. (welche noch lange nicht den Umfang bieten, bis jetzt) eigentlich OK. Für den Preis hat man die Vollausstattung mit allem Drum und Dran.
Wir haben nach dem Test von ca 4 Monaten die 2. PA500 erworben um das HA zu realisieren (dazu gleich mehr). Das ganze läuft transparent in Kombination mit einer Cisco ASA, was m.E. die perfekte Konstellation in Sachen Security ist.
Zu Deinen Anmerkungen:
Weboberfläche zu langsam: Ja, das ist leider richtig, war bei mir eine lange Zeit ein Aufreger, wobei es sich jedoch im neuesten Firmware- Release ein bisschen verbessert hat. Das Problem ist PaloAlto auch bekannt und es wird daran geabreitet, das etwas performanter zu gestalten.
Demnächst soll wohl die PA250 erscheinen, welche für kleine Aussenstellen vorgesehen ist. Da ich immer in Cisco- Dimensionen denke, wäre sowas ein Ersatz für z.B. ne ASA5505.

Bezüglich des HA: Für uns hat im Prinzip nichts dagegen gesprochen, die PA als einzelne Box und nicht als HA in unserem Cisco Firewall- Failover Cluster laufen zu lassen. Da alle Interface an der PA einzeln konfigurierbar sind, war das kein Problem. Wäre die Box ausgefallen, hätte man sie einfach nur rausgenommen und fertig, gemerkt hätte den Unterschied keiner.

Mittlerweile habe ich viel Erfahrung sammeln können und die Kiste läuft und läuft. Jedoch bleibt sie für uns als Inline- Firewall vorgeschaltet zur ASA Firewall. Mehr Schutz geht kaum.
Weitere + Punkte:
Jedes Interface ist einzeln und komplett autak konfigurierbar
Der Appfilter ist sehr genau und detailliert
Intuitive Bedienung, meine Kollegen finden sich selbst ohne Schulung zurecht
Extrem hohe Skalierbarkeit.
PolicyBased Routing (Man könnte sogar festlegen, dass z.B. das Skype Protokoll oder eMails über ein anderes Interface laufen sollen, sehr gut)
Virtueller Router
- Punkte:
Wie Du schon sagtest, das Web- Frontend könnte wesentlich performanter sein

Ach ja, die Eckdaten:
User: ~ 650 Systeme
Anbindung: 100MBits synchron
Funktion: Layer7 App- Filtering + URL und Threatfilter + Virenschutz.

Naja, würde mich mal interessieren wie Du das nun mittlerweile siehst, über Antwort würd ich mich freuen. Ich hoffe ich konnte Dir mit meinem kleinen Erfahrungsbericht weitehelfen.

Viele Grüße,
Marc
Bitte warten ..
Mitglied: tasteofchaos
10.10.2011 um 13:14 Uhr
Hallo Marc!

Ich kann mir gut vorstellen, dass die PA als Inline-Firewall perfekt ist. Allerdings ist das in unserer Umgebung (ca. 250 User Systeme / 30MBits synchron) etwas überdimensioniert - wir würden sie wenn dann schon als "Haupt" - Firewall nutzen wollen.

Ansonsten kann ich deine + Punkte nur bestätigen.

Wenn da nur die Lizenzierung der 2. Box nicht wäre.

Aktuell werden wir uns jetzt die Produkte von Cisco, Checkpoint und Barracuda noch einmal etwas genauer anschauen - mal sehen was dabei rauskommt.

Grüße
Thomas
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Hat jemand Palo Alto TRAPS im Einsatz ? (2)

Frage von Saftnase zum Thema Viren und Trojaner ...

Firewall
Empfehlung Next Generation Firewall (3)

Frage von Axel90 zum Thema Firewall ...

Router & Routing
gelöst Palo Alto PA 220 an Telekom Deutschland LAN (1)

Frage von Maik20 zum Thema Router & Routing ...

Firewall
Palo Alto PA-200 URL Filtering

Frage von Yannosch zum Thema Firewall ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Firewall
Richtige Grundeinstellungen der Pfsense für mein Netzwerk (14)

Frage von Spitzbube zum Thema Firewall ...

Switche und Hubs
gelöst Cisco 2960x Stacking über mehrere Etagen (12)

Frage von b3scher zum Thema Switche und Hubs ...