Zum Inhalt wechseln


Foto

ISA Server 2006 auf DC ? Erfahrungen damit ?


  • Bitte melde dich an um zu Antworten
38 Antworten in diesem Thema

#16 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:08

Hallo
Aus meiner sicht benötigt man auch keinen ISA Server in einer kleineren Firma. Ich würde einen neuen DC-Server kaufen und ne ZyXEL ZyWALL oder was vergleichbares in diesem Preissegment.
gruss


Hmm der ISA ist in diesem Fall aber bereits vorhanden. Abgesehen davon hängt die Verwendung einer Firewall (einer bestimmten) auch nicht direkt mit der größe einer Firma zusammen.
Technisch kann der ISA Einiges, was andere Firewalls nicht können, oder nur langsam mitliefern. Gerade im Bereich Authentifizierung und Exchangeveröffentlichung geht es eigentlich kaum besser/einfacher.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#17 Sanic

Sanic

    Member

  • 194 Beiträge

 

Geschrieben 14. August 2008 - 20:13

Die Größe der Firma beziehe ich einfach nur auf die Leistungsfähigkeit des Geräts.
Sicherlich hat der ISA Server auch seine Vorzüge (z.B. VPNs mit AD Authentifizierung etc.), aber ich denke dass für viele Fälle auch eine "normale" Hardware Firewall reicht, die immerhin wesentlich schlanker vom Softwareumfang ist.

#18 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:15

Eine Watchguard Firewall.


Wo ist da der Vorteil gegenüber dem ISA?

Bye
Norbert

Authentifizierung etc.), aber ich denke dass für viele Fälle auch eine "normale" Hardware Firewall reicht, die immerhin wesentlich schlanker vom Softwareumfang ist.


Hmm was hat der Softwareumfang einer Firewall damit jetzt zu tun? Weil ein etwas größeres System mehr Sicherheitslücken haben kann? ;) Nee wirklich...

Um mal zu zeigen, was ich vorhin mit Appliances meinte:
Pyramid Computer GmbH - Modelle ValueServer SEC Das kommt dem, was viele als Hardwarefirewall bezeichnen schon recht nahe.

Und im Gegensatz zu vielen "Hardwarefirewalls" trauen sich das normale Admins auch zu patchen, da MS den ISA einfach komplett über Windows Update oder WSUS mitversorgt.

Aber wie gesagt, der TO hat den ISA (als Lizenz bereits), es wäre also meiner Meinung nach sehr viel sinnvoller den weiterhin zu nutzen (auf neuer oder älterer Hardware) als jetzt was anderes und eventuell weniger leistungsfähiges anzuschaffen.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#19 Sanic

Sanic

    Member

  • 194 Beiträge

 

Geschrieben 14. August 2008 - 20:20

- Schmales Konfigurationsinterface
- Läuft stabil mit einer Uptime jenseits von gut&böse
- Liefert uns garantiert 1000 mbit (Forschungsnetz)
- Bietet sogar VPNs die sich gegen AD authentifizieren können
- Software wird passend zur Hardware verkauft (Appliance)

Letztendlich haben wir diese Firewall gekauft weil sie absolut stabil läuft. Da gab es in den letzten 3 Jahren nicht einen nötigen Reboot wenn man nicht gerade eine neue Firmware aufgespielt hat.

#20 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:22

- Schmales Konfigurationsinterface
- Läuft stabil mit einer Uptime jenseits von gut&böse
- Liefert uns garantiert 1000 mbit (Forschungsnetz)
- Bietet sogar VPNs die sich gegen AD authentifizieren können
- Software wird passend zur Hardware verkauft (Appliance)

Letztendlich haben wir diese Firewall gekauft weil sie absolut stabil läuft. Da gab es in den letzten 3 Jahren nicht einen nötigen Reboot wenn man nicht gerade eine neue Firmware aufgespielt hat.


Kosten?
Das Thema Uptime kommt irgendwie bei sowas immer. Wenn ich nicht patche, dann brauch ich auch sonst keinen Server booten. ;)

Bye
Norbert

PS: Ja der letzte Satz ist mit Absicht mit Smiley.
PPS: Nur mal noch als Bemerkung. Es gibt sicher Features die der ISA auch nicht kennt/kann. ABER: Du sprichst oben von 1GBit Durchsatz. Meinst du ernsthaft, dass das für den TO von Bedeutung ist? ;)

Make something i***-proof and they will build a better i***.


#21 renny

renny

    Junior Member

  • 112 Beiträge

 

Geschrieben 14. August 2008 - 20:24

ich würde schon behaupten das die firewall eine abhänigkeit zur grösse der firma hat(anz. sessions, durchsatz(vpn), funktionen etc...um so mehr user umso mehr benötigt man).

ausserdem muss man das hostsystem nicht warten und unterhalten, was auch ziemliche kosten verursacht(hardware, windows lizenz, administrationsaufwand etc...)

das der isa eine sehr gute firewall ist stimme ich dir absolut zu, habe selber bei einigen kunden die kiste im einsatz und bin absolut begeistert....aber eben unsere kunden mit isa bewegen sich ab 50 user aufwärts...

gruss

#22 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 14. August 2008 - 20:24

Wo ist da der Vorteil gegenüber dem ISA?


SSL-VPN, Policy Based Routing, Webblocker, Antispam, Antivirenschutz auf dem Gateway, günstiger (wenn man es mit Rechner, ISA und Serverversion vergleicht. Was ´ne ISA-Appliance kostet, weiss ich nicht) und mehr fällt mir jetzt nicht ein ... :) Die Büchsen haben natürlich auch Nachteile gegenüber dem ISA, aber irgendwas ist ja immer ... :D
Ich bin S-1-5-XXX-500, ich darf das ...

#23 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:29

ich würde schon behaupten das die firewall eine abhänigkeit zur grösse der firma hat(anz. sessions, durchsatz(vpn), funktionen etc...um so mehr user umso mehr benötigt man).


Klar. Der ISA skaliert meines WIssens nach ziemlich gut nach oben mit. :)
(siehe auch meinen Hinweis im vorigen Posting. Es geht mir immer noch um den TO)

ausserdem muss man das hostsystem nicht warten und unterhalten, was auch ziemliche kosten verursacht(hardware, windows lizenz, administrationsaufwand etc...)


Warum muß man die nicht warten? Die sind fehlerfrei?

das der isa eine sehr gute firewall ist stimme ich dir absolut zu, habe selber bei einigen kunden die kiste im einsatz und bin absolut begeistert....aber eben unsere kunden mit isa bewegen sich ab 50 user aufwärts...


Ich schrub ja schon. Auch der ISA ist nicht der Weisheit letzter Schluß. Bspw. kann er kein Static NAT oder Policy Based Routing. Aber trotz alledem hat der OP den schon. Es gibt also aus meiner Sicht keinen Grund, warum er den wegwerfen sollte und statt dessen eine, wie auch immer geartete, andere Lösung anschaffen sollte. :)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#24 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 14. August 2008 - 20:31

Das ist allerdings wahr, wozu was Neues kaufen, wenn man was Gutes hat ...
Ich bin S-1-5-XXX-500, ich darf das ...

#25 Sanic

Sanic

    Member

  • 194 Beiträge

 

Geschrieben 14. August 2008 - 20:31

Kosten?
Das Thema Uptime kommt irgendwie bei sowas immer. Wenn ich nicht patche, dann brauch ich auch sonst keinen Server booten. ;)

Bye
Norbert

PS: Ja der letzte Satz ist mit Absicht mit Smiley.
PPS: Nur mal noch als Bemerkung. Es gibt sicher Features die der ISA auch nicht kennt/kann. ABER: Du sprichst oben von 1GBit Durchsatz. Meinst du ernsthaft, dass das für den TO von Bedeutung ist? ;)

Also ich muss des öfteren einen Windows Server mal durchbooten.
Gerade wenn mal wieder Patchday war und ein Reboot dringend erforderlich ist ;)
Bei Watchguard kommen die Patches vielleicht alle 2-3 Monate. Da gibt's nicht viel zu stopfen. Und meistens sind die Patches sogar reine Featurepakete.

@Durchsatz:
Die Watchguards gibt es natürlich auch in verschiedenen Dimensionen.

Ich wollte einfach nur mal das Thema Hardwarefirewalls in den Raum werfen. Es muss ja nicht immer ein ganzer ISA+Windows sein.

#26 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:33

SSL-VPN


Wenn ich das höre... Nein ich sag nix ;)

Policy Based Routing,


ACK.

Webblocker


Standardmässig enthalten? Oder als Zusatzmodul?

Antispam


Das Letzte, wirklich das Letzte was ich meinen Kunden empfehle ist die Verwendung dieser Spamfilter in den Firewalls (Astaro kenn ich da persönlich).

Antivirenschutz auf dem Gateway


Für Web? Kann man brauchen.

günstiger (wenn man es mit Rechner, ISA und Serverversion vergleicht. Was ´ne ISA-Appliance kostet, weiss ich nicht) und mehr fällt mir jetzt nicht ein ... :) Die Büchsen haben natürlich auch Nachteile gegenüber dem ISA, aber irgendwas ist ja immer ... :D


Die Kosten hab ich auch nicht hier. Aber geschenkt gibts auch eine Appliance nicht. :)

Bye
Norbert

Also ich muss des öfteren einen Windows Server mal durchbooten.
Gerade wenn mal wieder Patchday war und ein Reboot dringend erforderlich ist ;)


Ja genau. Wenn Patches kommen die Lücken stopfen. Wobei bei einer korrekt konfigurierten Firewall (unabhängig davon obs jetzt ein ISA oder bspw. ne Checkpoint ist) nicht jeder Patchday sofort durchgeführt werden muß.

Bei Watchguard kommen die Patches vielleicht alle 2-3 Monate. Da gibt's nicht viel zu stopfen. Und meistens sind die Patches sogar reine Featurepakete.


Ist doch gut. Ich müßte mal nachschauen wie oft ich im Normalfall meinen ISA Server boote. Aber der REcord für ne windowsbasierte Firewall (Checkpoint NG) lag unter Windows 2000 bei 348 Tagen. Dann hab ich doch lieber mal Patches nachgezogen. ;)

Die Watchguards gibt es natürlich auch in verschiedenen Dimensionen.


Was sich dann aber auch im Preis niederschlägt, oder?

Ich wollte einfach nur mal das Thema Hardwarefirewalls in den Raum werfen. Es muss ja nicht immer ein ganzer ISA+Windows sein.


Für mich ist ne Hardwarefirewall aber auch nix unveränderliches. Es ist eben ein Rechner der als Blackbox geliefert wird und trotzdem regelmässig gepatcht werden muß/sollte. :)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#27 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 14. August 2008 - 20:46

Was hast Du gegen SSL-VPNs ? ;) Antispam, Webblocker und Antivirus sind Optionen, die allerdings auch als Bundle mitverkauft werden. Was man Kunden von solchen Appliances immer mit auf den Weg geben muss, dass jährliche Kosten entstehen, wenn es auch nur die Livesecurity ist (die nicht nur aus Updates besteht).
Antivirus ist u.a. auch für HTTP-Proxies verfügbar und der Spamfilter arbeitet auch zuverlässig. Naja, ich persönlich bevorzuge diese Appliances gegenüber jedem ISA-Server, was aber eine persönliche Vorliebe ist ...
Ich bin S-1-5-XXX-500, ich darf das ...

#28 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 20:59

Was hast Du gegen SSL-VPNs ? ;)


Ich glaub', ich sag lieber nix mehr. :)

Spamfilter arbeitet auch zuverlässig.


Benutzen die Pattern, oder wie funktioniert das in dem Fall? Wie gesagt die Astaro-Lösung finde ich persönlich zum K...en. Aber vielleicht liegts ja daran, dass ich besseres gewöhnt bin ;)

Naja, ich persönlich bevorzuge diese Appliances gegenüber jedem ISA-Server, was aber eine persönliche Vorliebe ist ...


So hat halt jeder seine Meinung. Was auch gut so ist. :)

Schönen Abend noch
Norbert

Make something i***-proof and they will build a better i***.


#29 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 14. August 2008 - 21:09

Ja, die benutzen Pattern ... Zum Thema SSL-VPN ;) Schlechte Erfahrungen gemacht oder biste generell gegen diese Art VPN (die Gründe würden mich dann interessieren) ?
Ich bin S-1-5-XXX-500, ich darf das ...

#30 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 14. August 2008 - 21:20

Ja, die benutzen Pattern ...


Ich bin kein Freund von "erst annehmen und dann markieren/wegwerfen/quarantänieren".

Zum Thema SSL-VPN ;) Schlechte Erfahrungen gemacht oder biste generell gegen diese Art VPN (die Gründe würden mich dann interessieren) ?


Ach nööö. Sagen wir: persönliche Abneigung gegen diese Technik. Nix konkretes. :)

Bye
Norbert

Make something i***-proof and they will build a better i***.