Neue Firewall fürs Büro

[Sithys]

Hallo zusammen,
wir haben aktuell eine NSA 220 von SonicWall im Einsatz. Nachdem sich unsere Anforderungen aber verändert haben, und ca. 15 Benutzer dauerhaft einen SSL-VPN benutzen sollen und im Zuge weiterer Umstellungen, soll eine neue Firewall angeschafft werden. Nun hab ich mir ein Angebot geben lassen für eine neue SonicWall TZ 500 und frage mich, ob denn SonicWall das "Maß der Dinge" ist. Wir sind soweit damit zufrieden und großen Ärger gab es auch nicht, aber die neue Firewall soll ca. 2.500€ kosten. Ich habe jetzt zwei weitere EDV-Häuser angefragt und bekomme Angebote für Fortinet-Firewalls und Sophos (wenn ich das richtig in Erinnerung habe). Die Firewall

Folgende Fragen ergeben sich für mich dazu:

• Ist das mit den Firewalls eine "glaubensfrage"?
• Können die Firewalls alle das gleiche?
• Ich habe keinen Vergleich der einzelnen im Internet gefunden - gibt es sowas überhaupt?
• Und mich interessiert natürlich die persönliche Meinung / Erfahrung in dem Bereich, wenn jemand was zu berichten hat?!

 

[firexs]

Prinzipiell können sie alle das gleiche. Kann dir noch den Intranator von Intra2Net in Raum werfen.

Sofern richtig konfiguriert, sind Sicherheit und Performance ganz weit oben. Da gegen ist dann eine Fritzbox Ramsch ^^ Vorteil der großen 'Firewalls' sind dann auch die Zusatzfeatures. Sei es Zugriffsfilter, Emailserver, integrierter Virenscanner, usw.

 

[Ic3HanDs]

Arbeite auf der Arbeit selber mit Fortinet sowie Sophos. Sonicwall hatte ich damals auch und auch noch einen Kunden hier der diese einsetzt.

Generell können alle dasselbe und es ist eine reine Glaubensfrage. Persönlich findet man bei allen etwas was Konfigurationsmäßig nervt..
Fortinet hat aber echt arge Probleme wenn man mal die Hardware auf eine größere Version tauschen will in Sachen Konfiguration übernehmen!

Persönlich würde ich Sophos empfehlen.

Preislich ist 2500€ aber noch ziemlich normal für eine Firewall mit Support und Updates für ein paar Jahre.

 

[Lawnmower]

Eigener Server mit z.B. pfSense wäre ein Thema?

Mit dem Budget kannst die dann auch in doppelter Ausführung machen (falls das eine Gerät abliegt).
z.B. Thomas Krenn 1HE RI1101H mit Pentium G4600 (alternativ auch 4C/8T E3 12xx Xeon), 8 GB ECC RAM, 64 GB SSD (Intel E 5100s), 2 x RJ45 Port (WAN/LAN), 1 x R45 Management Port und 36 Monaten Service auf Hardware für +/- 700 Euro.
pfSense kriegst per USB Bootstick innert Minuten drauf. VPN geht per OpenVPN (sowohl mit Client Applikation als auch Site2Site) als auch per IPSec. Keine Lizenzen für VPN Clients nötig.

Kannst natürlich auch so eine fixfertige Firewall einsetzen, ob die nun von Dell oder Zyxel oder sonstwem ist, dürfte weitgehend egal sein.

 

[Joe Dalton]

MoinMoin!

[...]Wir sind soweit damit zufrieden und großen Ärger gab es auch nicht, aber die neue Firewall soll ca. 2.500€ kosten. Ich habe jetzt zwei weitere EDV-Häuser angefragt und bekomme Angebote für Fortinet-Firewalls und Sophos (wenn ich das richtig in Erinnerung habe).

Die 2500.- EUR für eine Firewall sind entweder zu teuer oder zu günstig: Das hängt von den mitgekauften Features und der Hardware ab. Aktuelle Firewalls machen i.d.R. mehr als nur reines Pakete filtern und VPN-Tunnel aufbauen. Letztlich noch die Frage zur Redundanz: Braucht ihr einen FW-Cluster oder könnt ihr 4-24 h offline überleben?

Mit den Geräten von Fortinet bzw. Sophos hast Du die "Schweizer Taschenmesser" der Firewalls: Sie können vieles, sind aber keine Spezialisten.

Ist das mit den Firewalls eine "glaubensfrage"?

Jein, jeder hat seine Lieblinge und manche können bestimmte Dinger einfach besser. Die Sophos UTM lässt sich über die Weboberfläche leicht konfigurieren, aber eine Konfiguration zu scripten geht nicht - nur mal so als Beispiel.

Abgesehen davon würde ich noch unterscheiden, ob die FW die Pakete überwiegend im ASIC verarbeitet (z.B. überwiegend bei den Fortigates) oder ob ich alles über eine x86-CPU prügeln muss (z.B. Sophos UTM).

Können die Firewalls alle das gleiche?

Können alle Autos das gleiche? Für Teilaspekte mag man diese Fragen mit "ja" beantworten, andere muss man definitiv mit "nein" beantworten.

Ich habe keinen Vergleich der einzelnen im Internet gefunden - gibt es sowas überhaupt?

Ein allumfassender Vergleich dürfte schwerlich möglich sein. Alle Hersteller liefern jedoch Datenblätter, so dass sich die Durchsätze und Features anhand der eigenen Bedürfnisse vergleichen lassen. Ansonsten sind viele Äpfel kugeliger als Birnen...

Und mich interessiert natürlich die persönliche Meinung / Erfahrung in dem Bereich, wenn jemand was zu berichten hat?!

Und das hilft Dir wie? Du nennst Deine Anforderungen an die neue FW nicht und wir sollen Dir vorschwärmen, welche Vorteile sich bieten könnten, in einem für Dich möglicherweise unpassenden Szenario?

Einen generellen Rat gibt es in der Hinsicht: Ich bin kein Freund virtueller Firewalls. Das vielleicht geht für den Hausgebrauch oder bestimmte Anwendungen, aber nicht für die Perimeter-FW eines Unternehmens. Eine Firewall sollte i.d.R. ihre eigene Hardware mitbringen (Appliance).

Grüße,
Christian

 

[Muffknutscher]

Ich würde mal Watchguard in den Raum werfen wollen. Habe die früher mal Administriert und die Anbindung mit VPN/ Branch VPN war einfach nur genial. Kommt halt auch immer drauf an, was die bevorzugten Systeme des Systemhauses sind..

 

[Masamune2]

Mit Sonicwall, Sophos UTM (oder XG) und Fortinet hast du schon mal am Markt etablierte und gute Hersteller/Produkte. Wenn ihr keine Spezialanforderungen habt können die grundsätzlich erst mal alles das gleiche, die Unterschiede liegen dann im Detail.
Wir nutzen bei unseren Kunden Sophos UTM die besonders mit einer sehr einfachen Konfigurationsoberfläche punkten kann.

Ein guter Anhaltspunkt ist immer das aktuelle Gartner Magic Quadrant für UTM. Einfach mal in die Google Bildersuche werfen, für den kompletten Report zu lesen muss man in der Regel bei den Herstellern seine Daten abliefern.
https://marktugbo.com/2017/07/12/ga...agement-smb-multifunction-firewalls-released/
Hersteller die hier im Leaders Quadrant auftauchen kann man eigentlich immer kaufen.

 

[Joe Dalton]

Mit Sonicwall, Sophos UTM (oder XG) und Fortinet hast du schon mal am Markt etablierte und gute Hersteller/Produkte.

Kennst Du jemanden der eine XG im Produktivbetrieb hat und damit zufrieden ist?

Aktuell würde ich es nicht als "am Markt etabliert" bzw. "gutes Produkt" bezeichnen. Allerdings ist mein letzter Blick auf die Oberfläche und die Funktionen schon ein wenig her.

 

[PERKELE]

Ich werfe einfach mal OpnSense in den Raum, ein Abkömmling von pfSense.

Nutze ich selber auf Basis eines ESX Servers (Intel Pentium G4600 & 8GB) leicht zukonfigurieren und stabil.

 

[kamanu]

Wir nutzen hier eine SG210 von Sophos. Sind damit so weit sehr zufrieden. Vor allem das VPN lässt sich sowohl auf der Firewall selbst als auch dann bei den Kollegen wirklich kinderleicht einrichten.

 

[OliverL87]

Ich verwende an der Arbeit sowie daheim ne Sophos. VPN ist einfach eingerichtet. Der Support und die Community ist super.

 

[Masamune2]

Nein mit XG haben wir noch niemanden. Mit etabliert und gut sind auch eher Sophos und die "alte" UTM gemeint.

 

[mr.w0lf]

Hey,

wir setzen bei unseren Kunden mittlerweile produktiv auch die Sophos XG ein, mittlerweile kann man die ganz gut einsetzen