Firewall - Kaufberatung

Hallo!

Ich möchte unsere Firewall erneuern und brauche eure Hilfe.

Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

Die Firewall sollte IPsec Site to Site Tunnels können (können das nicht e schon alle).

Weiters wäre nicht schlecht, wenn die FW DHCP, bzw. DNS Server für das Intranet ist.

Was gibts da? Habt ihr Erfahrungen mit gewissen Modellen/Herstellern? Was muss man da ca. investieren?

Freu mich schon auf eure Meinungen.

Schöne Grüße

Martin

Cisco PIX

WatchGuard FireBox

Sonicwall

und noch tausend andere.

Mittlerweile gibt es auch diverse Anbieter die den Microsoft ISA 2004 in eine 19"-Kiste stopfen und das als "Hardware-Firewall" verkaufen.

Wenn es eine Hardware-FW sein soll auf jeden Fall etwas von einem etablierten Hersteller kaufen bei dem langjähriger Support und Softwareupdates und Ersatzteilversorgung sicher gestellt sind.

Wenn Ihr extern nur eine öffentliche IP-Adresse habt ist die PIX nicht unbedingt das Richtige für Euch.

Die PIX ist ab ca. EUR 400,-- zu bekommen.

Gruss

Markus

Hi!

Hab ich ganz vergessen, wir haben natürlich mehrere IPs.

Hab das ins Bild hinzugefügt.

habe sehr gute erfahrung mit astaro gemacht :jau:

hi,

wie wärs mit ner Checkpoint auf ner Nokia-box. Ist somit das beste was es am Markt gibt :D

Die meisten Hardware-Firewalls basieren auf Linux, BSD und manchmal auf ISA2004. Daneben gibts noch einige herstellereigene Plattformen. Wichtig ist ein vertrauenswürdiger Hersteller, der auch nach Jahren noch Updates liefert. Firewalls sind auch nur Software und damit gibts da auch Bugs und Löcher.

Dann stellt sich noch die Frage nach den weiteren Funktionen bzw Service:

Hardware Firewalls auch als VPN Server oder den VPN Traffic nur durchleiten?

Wie "tief" soll gefiltert werden? Nur nach Port und IP? Auch nach Protokoll. Das kann inzwischen wohl jede Firewall. Soll auch nach Inhalt gefiltert werden? Dann kann nicht jede.

Wer soll die Kiste konfigurieren? Das ist meist garnicht so einfach.

Ich hab bestimmt noch einiges vergessen...

Mich irritiert auf Deinem Bild die Verbindung von LAN in die DMZ.

Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

Wenn die auf einem separaten Computer installiert wurde, ist das schon eine "Hardware-Firewall". Wenn die gut funktioniert, gibt's doch eigentlich keinen Grund, die zu ersetzen, oder?

ich habe mit watchguard firebox x gute erfahrungen gemacht die firebox 1000 haben wir mit 150 user im einsatz ist sehr gut auch von der geschwindigkeit..

astaro kann ich dir auch anraten..

ist aber alles eine kostenfrage firebox 1000 glaube ich 2000 -2500 euro...

die nokia firewall wird viel treurer sein ...

hello,

prinzipiell würde ich mir auch die frage stellen, warum das vpn-gateway eine direkte verbindung ins lan hat. ich würde das auch über die firewall routen. somit gibt es absolut keine verbindung ins lan.

ich würde auch zu einer checkpoint auf einer nokia-box empfehlen. günstiger wirds auf einer secureguard-plattform...

lg

martin

Hallo,

ich würde eine astaro appliance empfehlen.

z.B. unter http://www.voltra.net/loesungen/firewall/astaro.php

mfg

motzel

Das ist eine Frage des Geldes. Eine Nokia Box ist nicht billig. Das sit Checkpoint nie. Aber dafür sind die richtig gut.

Ich würde mir mal die Pix und den ISA 2004 anschauen.

Kuck dir doch mal die bintec vpn gateways an. Gibts in jeder Größe, kosten nicht die Welt und man unterstützt nen deutschen Hersteller. Und man kriegt noch nen ISDN Fallback Port dazu wenn mal die Leitung ausfällt oder man was faxen will.

http://www.bintec.de/de/index.php?r=prod/vpn_access&m=navbar.html&c=index.html

Gruß

pepe

ich würde auch zu einer checkpoint auf einer nokia-box empfehlen. günstiger wirds auf einer secureguard-plattform...

 

lg

martin

[pedanterie on]

Kosmisch, aber du meinst wohl SPLAT (Secure Platform), oder? :suspect: :D

[pedanterie off]

ich habe eine astaro security linux gekauft. sehr einfach zu konfigurieren, läuft stabil, und bis jetzt nur ein bug.

http und smtp proxy sind bei uns im einsatz, das ding läuft einfach :D

Manchmal ist es auch hilfreich, die Größe des zu schützenden Netzes zu erfahren. Ne kleine Kiste ist zwar günstiger, aber wenn ne große gebraucht würde?

Nähere Angaben helfen Dir auch bei der Auswahl unserer Vorschläge ;-)

Ansonsten meine empfehlung:

Netscreen 25 von Juniper

- eigenes/properitäres OS

- vertrauenswürdig

- mit 2 DMZ-Ports

- alles was man an Firewalltechnik braucht (see datasheet ;-)

http://www.juniper.net/products/integrated/

Die Frage nach der Verbindung DMZ/internes LAN interessiert mich aber auch. Gibt es einen Grund für dieses Sicherheitsloch?

Astaro ist auch zu empfehlen, weil (hardwaremäßig einfach) erweiterbar.

grüße

dippas