Firewall - Kaufberatung

[zmaier]

Hallo!

Ich möchte unsere Firewall erneuern und brauche eure Hilfe.

Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

Die Firewall sollte IPsec Site to Site Tunnels können (können das nicht e schon alle).

Weiters wäre nicht schlecht, wenn die FW DHCP, bzw. DNS Server für das Intranet ist.

Was gibts da? Habt ihr Erfahrungen mit gewissen Modellen/Herstellern? Was muss man da ca. investieren?

Freu mich schon auf eure Meinungen.

Schöne Grüße
Martin

[Blacky_24]

Cisco PIX
WatchGuard FireBox
Sonicwall

und noch tausend andere.

Mittlerweile gibt es auch diverse Anbieter die den Microsoft ISA 2004 in eine 19"-Kiste stopfen und das als "Hardware-Firewall" verkaufen.

Wenn es eine Hardware-FW sein soll auf jeden Fall etwas von einem etablierten Hersteller kaufen bei dem langjähriger Support und Softwareupdates und Ersatzteilversorgung sicher gestellt sind.

Wenn Ihr extern nur eine öffentliche IP-Adresse habt ist die PIX nicht unbedingt das Richtige für Euch.

Die PIX ist ab ca. EUR 400,-- zu bekommen.

Gruss
Markus

[zmaier]

Hi!

Hab ich ganz vergessen, wir haben natürlich mehrere IPs.

Hab das ins Bild hinzugefügt.

[srkonus]

habe sehr gute erfahrung mit astaro gemacht

[cyrus the virus]

hi,

wie wärs mit ner Checkpoint auf ner Nokia-box. Ist somit das beste was es am Markt gibt

[Basran]

Die meisten Hardware-Firewalls basieren auf Linux, BSD und manchmal auf ISA2004. Daneben gibts noch einige herstellereigene Plattformen. Wichtig ist ein vertrauenswürdiger Hersteller, der auch nach Jahren noch Updates liefert. Firewalls sind auch nur Software und damit gibts da auch Bugs und Löcher.
Dann stellt sich noch die Frage nach den weiteren Funktionen bzw Service:
Hardware Firewalls auch als VPN Server oder den VPN Traffic nur durchleiten?
Wie "tief" soll gefiltert werden? Nur nach Port und IP? Auch nach Protokoll. Das kann inzwischen wohl jede Firewall. Soll auch nach Inhalt gefiltert werden? Dann kann nicht jede.
Wer soll die Kiste konfigurieren? Das ist meist garnicht so einfach.
Ich hab bestimmt noch einiges vergessen...

Mich irritiert auf Deinem Bild die Verbindung von LAN in die DMZ.

[PAT]

Zitat von zmaier Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

Wenn die auf einem separaten Computer installiert wurde, ist das schon eine "Hardware-Firewall". Wenn die gut funktioniert, gibt's doch eigentlich keinen Grund, die zu ersetzen, oder?

[caugusto70]

ich habe mit watchguard firebox x gute erfahrungen gemacht die firebox 1000 haben wir mit 150 user im einsatz ist sehr gut auch von der geschwindigkeit..
astaro kann ich dir auch anraten..
ist aber alles eine kostenfrage firebox 1000 glaube ich 2000 -2500 euro...
die nokia firewall wird viel treurer sein ...

[s21it21]

hello,

prinzipiell würde ich mir auch die frage stellen, warum das vpn-gateway eine direkte verbindung ins lan hat. ich würde das auch über die firewall routen. somit gibt es absolut keine verbindung ins lan.

ich würde auch zu einer checkpoint auf einer nokia-box empfehlen. günstiger wirds auf einer secureguard-plattform...

lg
martin

[motzel]

Hallo,

ich würde eine astaro appliance empfehlen.

z.B. unter http://www.voltra.net/loesungen/firewall/astaro.php

mfg

motzel