WulfmanJack 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Hallo Board, ich soll für ein mittelständiges Unternehmen eine Firewall Lösung präsentieren, doch ich kämpfe zwischen zwei Ansätze; einmal WatchGuard Firebox X5 (Hardware) und Kerio WinRouter Firewall 6 (Software) bin auch für andere Lösungen offen Für die Kerio ist der Domäncontroller als Installations-Plattform gedacht, da ich aber auf dem DC keine weiteren Dienste installieren möchte (darauf läuft schon Anti-Viren Software und 2 Datenbanken, zu riskant!), denke ich mir das eine Hardware Firewall sicherlich die gleichen Leistungsmerkmale wie die Kerio aufweist und daher keine "unnötige" Dienste auf den DC installiert werden müssen.. Natürlich habe ich mich informiert aber trotzdem kann ich den Unterschied zwischen den beiden nicht so richtig erkennen bzw. Vor- und Nachteile. Die Kerio wird aber auch nicht ausser acht gelassen, falls es doch die bessere Lösung sein sollte! Was absolut wichtig ist das ich Kontrolle über In- und Outbound habe, Controlling über die besuchten Webseiten und das aller wichtigste ist das spezielle Gruppen oder Personen ausgegrenzen werden könne wie z.B. FTP, Chat usw. gesperrt werden. Als Schmankerl währe eine integrierte Anti-Virus Lösung zum Scannen der Incoming & Outgoing Datenströme toll. Kerio biete McAfee mit an. Bein Durchstöbern im Board ist mir aufgefallend das ich nur durch ein Proxy White- und Blacklist Verfahren Webseiten sperren kann, laut Watchguard ist das aber auch möglich. Das heißt 1:1 SWF gegen HWF! Auf Erfahrungsberichte über beide Produkte würde ich mich freuen. Gruß WJ Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Ich kann von Softwarelösungen, bei Firewalls nur abraten. Eine dedizierte Hardwarefirewall, die für nichts anderes konzipiert wurde ist immer besser für den Job geeignet, als ein Server (am besten noch ein DC! gehts noch?), der für alles andere entwickelt wurde und daher auch leichter anzugreifen ist. Wenn du schnell autofahren willst nimmst du dir doch auch keine Lastwagen, weil du mit dem auch noch Möbel transportieren kannst und er eh schon da ist! Zitieren Link zu diesem Kommentar
caugusto70 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 hey ...wir setzen selber watchguard als firewall lösung ein ... funktioniert sehr gut... du kannst vpn lösungen einrichten mit sohos , egde ,muvpn oder pptp. in und outbound kannst du auch loggen und auswerten mit dem reports...du wiesst aber das du nicht nach namen suchen darst nur nach ip-adressen weil das datenschutz ist... firewall auf software lösung ist einfach "schweissse" also ich hoffe ich konnte dir helfen... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Also eine Hardware Firewall ist häufig nichts anderes als ein dedizierter Firewall Server. Auf jeder Hardware Firewall läuft auch irgendein OS, und einige müssen auch auf ganz normalen Servern (Intel oder SUN Hardware beispielsweise) installiert werden. Bei vielen Lösungen geht es aber um den ganzheitlichen Systemschutz. Was passiert beispielweise, wenn einer deiner Remote benutzer ausser haus ist? Richtig, er ist Firewall technisch ungeschützt und kann sich nur auf Sicherheitsupdates und Antivirenscanner verlassen. Ob da eine Watchguard das richtige Produkt ist, wage ich zu bezweifeln, denn Watchguard bittet keine Desktop Firewall mit ihrem VPN-Client an. Wie auch immer, egal wie du dich entscheidest, auf einem Domänen Controller hat solch eine Software nichts zu suchen. Gruss Velius Zitieren Link zu diesem Kommentar
x86-64 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 also mit watchguards hatte ich schon erhebliche probleme hab jetzt einen ipcop auf einer alten kiste aufgesetzt und der läuft wie eine 1. Zitieren Link zu diesem Kommentar
WulfmanJack 10 Geschrieben 27. Februar 2005 Autor Melden Teilen Geschrieben 27. Februar 2005 Es fällt mir jetzt nach den Antworten leicher mich für eine Lösung zu entscheiden. Das Problem mit der SWF ist das das Budget der Firma nicht besonder groß ist und mir keine andere Wahl bleibt als auf dem DC die Software zu installieren. IPCOP ist natürlich auch eine Möglichkeit, der Kunde möchte aber keinen zusätlichen PC für 24/7 Aufgaben bereit stellen (Brandschutz). Kennt Ihr vielleicht was besseres als die WatchGuard X5, laut Hersteller ist Total Cost of Ownership im Vergleich zu anderen Produkten einfach besser. Mit anderen Worten ist mir die Wirtschaftlichkeit als Faktor für die Entscheidungsfindung wichtig. Gruß WJ Zitieren Link zu diesem Kommentar
x86-64 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 eine watchguard ist auch nichts anderes als eine pc und ipcop ist völlig kostenlos - ich hab den auf einem pentium 1 mit 75 mhz und 32 mb ram laufen Zitieren Link zu diesem Kommentar
caugusto70 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 wenn es nichts kosten darf ..ist watchguard auch die falsche lösung... wir haben 15 fireboxen x 500 bis 1000 15 sohos im einsatz funktionieren gut..das ist meine aussage die ich dir machen muss...wenn er aber kein geld hat dann ..brauch er auch keine sicherheit.... ps: eine sehr gute firewall ist auch astaro..die gibt es für 10 user kostenlos brauchst nur einen rechner ... die ist sogar besser als watchguard nach meiner erfahrung die ich da gemacht habe. Zitieren Link zu diesem Kommentar
WulfmanJack 10 Geschrieben 27. Februar 2005 Autor Melden Teilen Geschrieben 27. Februar 2005 In Sicherheit wird schon investiert ab nicht mehr als 500 €, :rolleyes: und die WatchGuard kosten mit 1 Jahr Sercurity Updates ca. 450€. Da Astaro ähnlich wie IP-Cop auf einen extra Rechner installiert werden müßte bleibt diese Lösung außen vor. Die Preise von Astrato sind nicht schlecht! Meine Konfiguration würde über 1200 € kosten, aber ich lasse jetzt das Nörgeln den es wird wahrscheinlich die watchGuard X5. Danke an alle beteiligten die mir hinsichtlich Entscheidungsfindung geholfen haben. :) Gruß WJ PS. Vielleicht bin ich ja blind aber ich habe auf der Webseite http://www.astaro.de keine kostenlose Version gesehn, hast du ei Link dazu? Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Ob Du ne Hardwarefirewall oder Softwarefirewall nimmst, ist im Endeffekt egal. Bei der Hardwarelösung (die ja eigentlich auch nur ein Rechner mit Betriebssystem und Firewallsoftware ist) kannst Du Dir halt absolut sicher sein, dass kein Hirni darauf kommt, andere Dienste zu installieren. Und, was auch noch für ne Hardwarelösung spricht, ist meist der Preis. Wie hier schon geschrieben kostet ne kleine WatchGuard ~450€ Bei der Softwarelösung wird sehr oft vergessen, dass man einen dedizierten Server braucht und natürlich noch das BS. Zitieren Link zu diesem Kommentar
WulfmanJack 10 Geschrieben 27. Februar 2005 Autor Melden Teilen Geschrieben 27. Februar 2005 hast natürlich Recht, ein dedizierter Server auf Basis von Windows (ISA2004) allein als Fw kommnt nicht in Frage. Mittlerweile schaue ich mir Checkpoint, Watchguard und Bluecoat an. Zitieren Link zu diesem Kommentar
Lex1th 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Kann noch die Cisco Pix empfehlen. Da hast du ja alles in einem®. Du brauchts keinen zusätzlichen PC sondern hast Hardware(die Box) und die Software (das IOS) in einem. Ich mag die Lösungen auf zusätzlichen Server auf einem OS nicht so besonders. Man kennt es ja, wie häufig der eine oder andere Dienst mal hängen bleibt... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 Checkpoint kann ich nur empfehlen! Ist massiv auf Microsoft integration ausgelegt (AD Schema ist durch Checkpoint erweiterbar, oder Integration von RADIUS oder RSA sind auch kein Problem) und macht auch sonst einen spitzen Eindruck. Einzig der Preis ist ziemlich Stolz. Gruss Velius P.S.: Die FW-1/VPN-1 wird wahlweise auf die mitgelieferte Secureplatform (gehärtetes Red Hat 7.3) ein Solaris oder einen Windows Server installiert. Zitieren Link zu diesem Kommentar
WulfmanJack 10 Geschrieben 27. Februar 2005 Autor Melden Teilen Geschrieben 27. Februar 2005 Ich glaube das die Cisco recht überdimensioniert ist, die Firma arbeite nicht mal mit statischen IP's alles dynamisch (DynDNS), geschweige DMZ. Simples Netzwerk, die FW sollte Optional Anti-Viren Engine haben und das haben ja die meinsten. Vielleicht kannst du genauere Angaben machen Modell, Modell Nr. Gruß WJ PS. @Valius was hälst du von http://www.checkpoint.com/products/safe@office/safe@office_chart.html ist nicht die die du empfohlen hast aber das würde den Anfoderungen genügen. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Februar 2005 Melden Teilen Geschrieben 27. Februar 2005 @WulfmanJack Keine Ahnung, ich kenne die Produkte leider nicht. Ich kann nur sagen, dass ich schon Erfahrungen mit ISA 2000, Watchguard Firebox2/3 und der FW-1 mache konnte. Der ISA 2004 wurde gegenüber der 2000 ja scheinbar massiv verbessert, was ihr mehr den Ruf als Firewall bringt, fällt aber für dich eh flach. Am schlechtesten schneidet in meinen Augen das Watchguard Produkt ab, das es irgendwie unprofessionell wirkt, will da aber niemandem auf die Füsse stehen. Die FW-1 ist aber der Hammer. Je mehr ich damit arbeite, umso besser gefällt mir das Teil, ist aber nichts für Newbies, da es Tonnen von einstellungs Möglichkeiten gibt, und man sich schnell verzettelt, wenn man nicht weiss, was man macht. Bei einer Firewall ist aber eine Fehlkonfiguraton verherend. Ich denke, ein Produkt von Checkpoint ist grundsätzlich keine schlechte Wahl. Gruss Velius Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.