[Kaufberatung] Empfehlungen für professionelle Hardware Firewall (UTM)

jraf

jraf

Enthusiast
Thread Starter
Mitglied seit
26.07.2005
Beiträge
5.398
Hallo allerseits,

wir suchen aktuell nach einem Ersatz für eine unserer Firewalls. Folgende Features soll diese Maschine übernehmen:

- Prüfung des ausgehenden Internetverkehrs der Arbeitsplätze (HTTP(S) Proxy mit Virenscan) (ca. 100 Arbeitsplätze, 100MBit Standleitung)
- VPN-Endpoint für Clients (Aussendienstmitarbeiter, Heimarbeitsplatz...) mit 2-Faktor-Authentifizierung
- Sicherer Zugriff auf Exchange OWA und Sharepoint über Internet
- FTP-Proxy für mehrere 1000 Sessions parallel (Incoming)
- Stateful Inspection Firewall für interne Netzwerke (insgesamt 4 Gigabit Netzwerke, gerne auch mit der Möglichkeit Link Aggregation/LACP)
- Clusterfähigkeit (am Besten Active/Active)

Budget-technisch sollte das Ganze wenn möglich im 4-stelligen Bereich bleiben (in € netto)

Mit welchen Geräten habt ihr gute Erfahrungen? Welche Lösungen sind empfehlenswert?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi,

ich habe lediglich Erfahrungen mit Juniper Firewalls.

Ich kommentiere einfach mal, was damit geht bzw wo ich weiß, dass es definitiv geht:

- Prüfung des ausgehenden Internetverkehrs der Arbeitsplätze (HTTP(S) Proxy mit Virenscan) (ca. 100 Arbeitsplätze, 100MBit Standleitung)
Geht. Erfordert aber zusätzliche Lizenz

- VPN-Endpoint für Clients (Aussendienstmitarbeiter, Heimarbeitsplatz...) mit 2-Faktor-Authentifizierung
Geht ebenso. In diesem Fall heißt das ganze Junos Pulse/Dynamic VPN. Braucht ebenso Lizenzen. 2 Faktor. Ja. ABER: Juniper Networks - Is SRX Dynamic VPN with RSA SecurID Authentication supported? - Knowledge Base

- Sicherer Zugriff auf Exchange OWA und Sharepoint über Internet
Was meinst du damit? Wenn du willst, dass das nur per VPN erreichbar ist, dann gehts ja. Andernfalls sind das ja nur Firewallregeln, welche den Access von aussen auf die Server beschränkt.

- FTP-Proxy für mehrere 1000 Sessions parallel (Incoming)
???? Soll das Ding die FTP Verbindungen annehmen und weiter reichen oder was hast du da vor?

- Stateful Inspection Firewall für interne Netzwerke (insgesamt 4 Gigabit Netzwerke, gerne auch mit der Möglichkeit Link Aggregation/LACP)
Geht. Auch mit Link Aggregation und LACP. Sofern die 4 Gbit Netze auch jeweils 1Gbit machen, muss die Firewall nur groß ausfallen, da die Firewallleistung je nach Firewall beschränkt ist.

- Clusterfähigkeit (am Besten Active/Active)
Geht ebenso.


Aus Erfahrung würd ich mal sagen, dass für deinen Fall ein Cluster aus 2x SRX240H2 ausreichen sollte. Die können 1.8GBit/s Firewallperformance und um die ~300MBit/s VPN/IPSec und haben 16 1GBit/s Interfaces.

Gruß
Alex
 
Hallo Seratio,

zunächst mal vielen Dank für deinen Beitrag. Um auf deine Fragen genauer einzugehen:
- Sicherer Zugriff auf Exchange OWA und Sharepoint über Internet
Was meinst du damit? Wenn du willst, dass das nur per VPN erreichbar ist, dann gehts ja. Andernfalls sind das ja nur Firewallregeln, welche den Access von aussen auf die Server beschränkt.
Zum Vergrößern anklicken....
Die aktuelle Firewall fungiert hier als HTTP(S) Proxy von außen, welcher allerdings nur für spezifische Dienste freigegeben ist und unerlaubte Befehle innerhalb des Protokolls prüft bzw. blockiert (Layer 7 Firewall). Ausserdem kann hier ebenso eine zusätzliche OOBA (Out-of-Band-Authentication) eingesetzt werden.
- FTP-Proxy für mehrere 1000 Sessions parallel (Incoming)
???? Soll das Ding die FTP Verbindungen annehmen und weiter reichen oder was hast du da vor?
Zum Vergrößern anklicken....
Ja genau - die Firewall nimmt die Verbindungen an und reicht Sie in eines der internen Netzwerke durch (Anmeldung mit User@Host). Auf dieser Ebene kann der Datenverkehr ebenso überprüft (Layer 7 / Deep Packet Inspection) wie virengescannt werden.
 
Besten Dank Seratio für deinen Beitrag. Wie sind denn allgemein deine Erfahrungen mit den Juniper Firewalls? Also in Bezug auf Bedienbarkeit, Zuverlässigkeit und z.B. auch Support vom Hersteller

Würde mich freuen wenn sonst jemand noch andere Erfahrungswerte beisteuern kann!
 
Microsoft UAG ist in Sachen Bedienbarkeit und für die angedachten Möglichkeiten/Lösungen ansich eine feine Sache...wäre da nicht die Ungewissheit die durch das canceln von TMG entstanden ist.

Deswegen wäre mein Favorit in die Richtung derzeit Fortinet
SPI, bisschen Web Publishing, VPN Endpoint, aktiv aktiv Cluster soweit alles kein Problem. Bedienung ist auch recht eingängig im Gegensatz zu vielen konkurenten
 
Hi,


ich will jetzt nicht den Fanboy spielen, aber ich muss zugeben, dass ich mit Juniper Firewalls noch keine großen Probleme hatte. Klar passiert es, dass eine Firewall mal stirbt. Aber wenn man ein Supporticket erstellt, hat man idr am nächsten Tag oder übernächsten eine neue.

Support direkt vom Hersteller gibt es nur für Großkunden, soweit ich das weiß. Andernfalls läuft das meist über einen Distributor.

Was zu Juniper ggf. noch zu sagen ist. Das Webinterface ist nicht das schnellste, darum nutzen wir hier ausschließlich die CLI. Daher kann ich allerdings auch nicht genau sagen, ob alles auch wirklich in der Gui konfigurierbar ist.

Ansonsten erstrecken sich meine Erfahrungen mit Juniper Firewalls und auch Routern und Switchen auf über 100 konfigurierte und administrierte Geräte.
 
Ist die Leitung von der Telekom? Die Telekom bietet meiner Meinung nach attraktive UTM Pakete an, Hardware sind meist Fortigates.
Ich habe das kleine UTM Paket mit 2 Fortigate 80 und Remoteadministration durch die Telekom. Läuft einwandfrei und ist recht bezahlbar.
Welche FG deinen Ansprüchen genügen würde weiß ich aber leider nicht.
 
Fortinet Fortigate haben wir bereits im Einsatz (100C, 200B und 60B). Damit sind wir auch sehr zufrieden, möchten uns aber nicht generell nur auf einen Hersteller fixieren und suchen daher empfehlenswerte Alternativen.
Was zu Juniper ggf. noch zu sagen ist. Das Webinterface ist nicht das schnellste, darum nutzen wir hier ausschließlich die CLI. Daher kann ich allerdings auch nicht genau sagen, ob alles auch wirklich in der Gui konfigurierbar ist.
Zum Vergrößern anklicken....
Hmm schade - bei den Fortigates gibt es auch Optionen die über CLI konfiguriert werden müssen, aber es geht fast alles über Web GUI und das auch sehr intuitiv und schnell. Ein ordentliches Webinterface finde ich gehört bei einer professionellen Firewall durchaus mit zum guten Ton...
 
Kann evtl. jemand etwas zu "Watchguard" oder "Barracuda" Firewalls sagen? Sieht auch ganz interessant aus :)
 
Wir setzen Watchguards bei uns und bei manchen Kunden ein. Die funktionieren solide und fallen besonders durch den geringen Preis auf. Im Vergleich zu einer Sophos UTM finde ich die Konfiguration allerdings sehr umständlich.
 
Ich hab nur ne kleine XTM 21 im Einsatz. Die verrichtet treu ihren Dienst, finde ich aber von der Config her als Einsteiger echt umständlich.
 
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Hallo Ralf,

danke auch dir für dein sinnvolles Feedback.
Ich habe mittlerweile eine virtuelle Watchguard zum testen. Das sieht so weit alles sehr gut aus. Tatsächlich ist die Konfiguration nicht trivial, bietet allerdings auch sehr viele durchdacht implementierte Möglichkeiten. Ist insgesamt für mich und die Kollegen im Netzwerkteam keine besondere Herausforderung, kommen schon gut damit klar.

Leider können wir die FTP-Proxy Funktion nicht analog zur bisherigen Firewall verwenden. Die Watchguard fungiert offensichtlich in jedem Fall immer nur als transparenter Proxy - um die aktuelle Funktionalität abzubilden müsste es aber ein expliziter Proxy sein, d.h. die Firewall selbst sollte auf FTP-Requests antworten. Wir haben das auch schon mit der Sophos UTM getestet - hier funktioniert das Ganze wenn man den non-transparent Proxy aktiviert - allerdings nur auf dem alternativen Port 2121 und auch nicht mit konfigurierbaren benutzerdefinierten Kommandos.
Kennt jemand eine Firewall, die als expliziter FTP Proxy auf Port 21 arbeitet und eine Anmeldung am Remote Host über Username@Hostname unterstützt?
(Fortigate in der aktuellen Version geht, allerdings wird auch hier nicht die Konfiguration benutzerdefinierter Commands unterstützt, was ebenso erforderlich wäre)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh