Welche Firewall?

[wznutzer 35]

Guten Abend,

 

aus einem anderen Thread ging hervor, dass ich eine Firewall mit Reverse Proxy benötige. Ich habe mich dann für eine Sophos SG230 entschieden aber noch nicht gekauft. Nun kam der Wunsch auf nach Alternativen zu suchen, weil die jährlichen Gebühren mit ca. 2800 €  (Fullguard) doch nicht ganz so gering sind. Nun gibt es ja unzählige Hersteller und nicht immer ist es ganz leicht den Lizenzdschungel zu durchblicken. Ich weiß, dass pauschale Fragen immer schwer, manchmal auch gar nicht, zu beantworten sind. Aber ich frage trotzdem mal.

 

Welcher Hersteller käme eurer Meinung nach in Frage wenn die jährlichen Gebühren nicht über 1000 € liegen sollen?

 

• Netzwerk mit 75 Clients

• Firewall / Packetfilter, Router / Gateway in einem Gerät

• Loadbalancing über 4 WAN-Leitungen (ausgehend)

• Port-Freigabe mit URL-Filterung (Reverse-Proxy  :) )

• VLAN-Routing zwischen einzelnen VLANs

• DHCP-Server für verschiedene VLANs bereitstellen

• Möglichkeit ein VPN zwischen zwei Standorten aufzubauen

• SSL-VPN für RDP-Sitzungen

Bei meiner Recherche (Securepoint, Watchguard, Gateprotect usw.) bin ich immer deutlich über den anvisierten 1000 € Gebühren pro Jahr gelegen. Ich hoffe jedoch, dass ich da etwas übersehen habe.

 

Ich hoffe trotz der etwas sperrigen Frage auf Antworten.

 

Grüße

[Dunkelmann 96]

Moin,

 

ich würde mal überlegen, ob es wirklich "Full Guard" oder vergleichbar sein muss.

Bei einem "runum sorglos" Paket langen fast alle Hersteller kräftig zu. Vielleicht solltest Du Deine Anforderungen etwas feiner ausarbeiten.

[Nobbyaushb 1.471]

Moin,

 

naja, man muss halt gucken, welche Funktionen / Features man wirklich braucht.

 

Die Securepoint, die wir am Start haben kann unter anderem auch den Exchange prima veröffentlichen, quasi als TMG-Ersatz.

 

VPN usw. sollte heute jedes Teil über 150€ können....

 

;)

[monstermania 53]

Na ja,

was erwartest Du!? Wenn man ein Rundum-Sorglos-Glücklich-Paket haben will muss man entsprechend tief in die Tasche greifen. Wir Zahlen für 50 aktive User 1500€/Jahr. Macht 30€ pro User/Jahr.

M.E. ein durchaus angemessener Preis für eine umfassende Sicherheitslösung.

Benötigst Du wirklich Fullguard!? Bei Deiner Aufzählung fehlt mir z.B. AV- und Spamfilter und Content-Filterung! Gerade hier greifen die Hersteller ja i.d.R. auf Engines externer Hersteller zu, so dass allein dafür schon nicht unerhebliche Lizenzgebühren anfallen.

 

Wenn es partout günstig sein soll fallen mir sofort die "Community"-Editionen einiger professioneller UTM-Anbieter ein. Kostet dann gar nichts (außer Zeit)! Endian Firewall oder Smoothwall seien hier mal beispielhaft genannt.

Auch die OpenSource Firewall pfsense sollte alle Deine Anforderungen abdecken können.

Das Problem beginnt hier zumeist beim Support. Irgendwann tauchen dann eben doch Fragen/Anforderungen auf, die sich nicht mehr mal eben über das Userforum klären lassen. Da ist man dann im Zweifel froh auf einen kompetenten DL oder den Hersteller zurückgreifen zu können.

 

Ach ja, bei der Kostenüberlegung sollten auch die VPN-Clients mit einbezogen werden. Wir haben seinerzeit die bekannten NCP-Clients genutzt. Da kommen dann auch nochmal ganz schnell 50€ pro VPN-Client dazu! Inzwischen setzten wir OpenVPN ein. Da fallen dann keine weiteren Lizenzkosten mehr an.

bearbeitet 15. November 2016 von monstermania

[Doso 77]

PFSense und viel Geduld?

[wznutzer 35]

Vielen Dank für eure Antworten.

 

Endian Firewall oder Smoothwall kannte ich nicht, PFSense habe ich mir mal grob angeschaut. Ich glaube der Faktor Zeit ist da das KO Kriterium.

 

Sophos:

Fullguard benötige ich tatsächlich nicht. Um das was ich habe zu ersetzen würde die Lizenz Network Subscription für grob 800 € genügen. Aber aus einem anderen Thread ging hervor (wenn auch nicht eindeutig), dass ein Exchange nicht einfach per Portfreigabe veröffentlicht werden soll, sondern mit einem Reverse-Proxy. Die Webserver-Protection kostet grob 1000 €, macht zusammen 1.800 €. Für 1000 € mehr, also 2.800 € (Fullguard) bekomme ich dann aber alles andere mit dazu. Durch die Fullguard-Lizenz erhält man ja praktisch ca. 40% Rabatt auf die Einzellizenzen.

 

Nun gut, den gesuchten Geheimtipp gibt es wohl nicht. Entweder Geld, oder Zeit (PFSense).

 

Vielen Dank

[NorbertFe 2.034]

Wie immer: kommt darauf an. Meist verkompliziert so ein Reverse Proxy die Konfiguration und die Sicherheit wird nicht zwingenderweise auch erhöht.

[wznutzer 35]

Hi,

da hake ich doch nochmal nach. Könntest dur mir das kurz erläutern, warum die Sicherheit nicht zwingend erhöht wird? Deine Meinung passt dazu: Lt. einem Blog von MS https://blogs.techne...y-as-you-think/  ist ein Reverse-Proxy nicht mehr nötig. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht."

 

Evtl. ist ein Reverse-Proxy für den Exchange tatsächlich nicht mehr notwendig und ich wäre mit einer einfachen Portfreigabe ein Earlyadopter :cool: .

 

Schönen Abend

[NorbertFe 2.034]

Da wärest du mit Sicherheit nicht mehr sehr early. Definier doch mal deine Anforderungen, und Vergleiche mit dem, was du per portweiterleitung bekommst gegenüber dem Reverse proxy. Abgesehen von Pfad Filter nutzen viele ja kaum die Möglichkeiten, bzw. verlassen sich dann eben auch auf die Wizards der Firewall und kontrollieren das selten bis nie. Und für Outlook anywhere und Mapi http wird's dann fast immer abgeschaltet. ;)

[wznutzer 35]

Die Anforderungen habe ich mir überlegt. Es ist tatsächlich so, dass ich "nur" die URLs filtern will. Mir gefällt nicht, dass bei einer Portfreigabe /ecp usw. auch erreichbar ist. Aber du hast recht. Ich habe mich etwas durch verschiedene Foren gelesen. Es gibt oft Tipps wie, schalt diesen oder jenen Schalter an. Diese Schalter haben dann meist die Namen PassThrough, XY ignorieren. Dann habe ich einen Reverse-Proxy nur um einen zu haben. Bleibt die URL Filterung. Ich muss da noch schlauer werden. Vielleicht werde ich einer der üblen Portweiterleiter.

[monstermania 53]

Vielleicht werde ich einer der üblen Portweiterleiter.

Damit wärst Du in guter Gesellschaft. Schau mal in die Foren der diversen Firewall-Anbieter. Viele Freds behandeln Probleme mit der Konfiguration des Reverse-Proxy.

Wir nutzen z.B. auch keinen Reverse-Proxy, obwohl unsere Firewall das schon könnte.

 

PS: Ein Reverse-Proxy wird ja nicht zwangsläufig nur eingesetzt um die pot. Sicherheit zu erhöhen. Wenn Du hinter einer öffentlichen IP mehrere Server auf den gleichen Ports anbinden willst bleibt hilft Dir ein Reverse-Proxy auch.  

[Otaku19 33]

je nach business sollte man durchaus erwägen diese Funktionen nicht allesamt auf eine Box zu legen. Meistens kann eine Lösung die vieles kann, eben nicht alles ausreichend gut und man kreiert sich einen super SoF, cluster hin oder her (der fängt ohnehin nur HW Probleme ab). habe schon zu oft Probleme auf diversen Firewalls oder Routern gehabt und war sehr froh das zumindest andere Teile des unternehmens weiter funktioniert haben

[BABA 11]

Ich habe Watchguard als Clusterlösung im Betrieb. Kosten ca. 3200,- für 3 Jahre und der Support ist sehr gut.

VPN, Webblocker, SPAM, und noch so einiges. http://www.watchguard.com/