Velius 10 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Dann auch ab auf die CISCO-Homepage, die haben eine ergiebige Suchfunktion ;)Cisco Systems, Inc grizzly999 Cool, interessier mich nur bloss zuwenig für die Bude - hab meien eigenen Favoriten:D BTW: Ich weiss, was eine App. Layer Fw oder ähnliches Gerät kann, und weiss es auch zu beschrieben - wenn das Gerät z.B.: weiss, was eine 'GET' oder 'PUT' Methode bei einem FTP Transfer ist, und auch gezielt danach Filtern kann....:cool: Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Cool, interessier mich nur bloss zuwenig für die Bude - hab meien eigenen Favoriten:D Okay, geb's zu, können die in der Form auch noch nicht soo lang, bei der Pix so richtig ab IOS 6.3, IIRC. Das war so vor ca. 3 Jahren als das rauskam, also inetwa so wie das Erscheinungsjahr von ISA 2004. Als ich damals aber die Liste gelesen habe, was das IOS alles kann, dachte ich noch "Meine Güte, da kann sich der ISA ja noch teilweise davon was abgucken :shock: " grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 @grizzly Für mich persöhnlich spricht primär die höllische CLI gegen CISCO - kenne keine andere Syntax die so unlogisch ist. Aber wenn man länger damit arbeitet ist man's sich sicherlich gewohnt und bemerkt's kaum. Da gäbe es noch ein paar andere Argumente, kommt aber auf des Segment an, sprich, ob wir über Switches, Firewalls, oder was auch immer reden. Na ja, haben hier auch CISCO rumliegen....:p ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Um nochmals auf den Ursprungsbeitrag zurückzukommen, das ist ja Anliegen des TO und Intention des Boards ;) : Ich kenne jetzt keinen direkten Vergleich mit den o.g. Produkten. Tom Shinder hat 2004 ausführliche Vergleiche in seiner schon in diesem Thread angesprochenen "ISA-Bibel" zu einigen gängigen Firewalls, meist im Enterprise Segment, angestellt. Aber die Produkte, die der TO genannt hat, sind da nicht dabei, sondern CISCO Pix (mit Sicherheit damals noch nicht auf IOS 6.3 oder höher bezogen), Checkpoint, Netscreen, WatchGuard, SonicWall, Symantec Enterprise Firewall, Blus Coat SG, und in Kurzform IPChains/IPTables und FWTK/ipfirewall. Sehr interessant in dieser ausführlichen Form. Dabei kommt der ISA immer am besten weg, wobei man solche "Werbeeinblendungen" von Thomas Shinder immer etwas filtern muss, denn er sieht IMHO alles durch eine reine rosarote ISA-Brille. Nichtsdestotrotz, der ISA ist auch mein perönlicher Favorit, denn im Preis-Leistungsverhältnis, selbst wenn man Hardware und drunter liegenden Server mit einrechnen muss, schlägt er eigentlich alle anderen Firewalls/Proxys. Bei den ganzen Herstellerprodukten muss man meist mit beiden Händen, und die müssen groß wie Klodeckel sein, tief in die Portokasse greifen, um die Lizenzen für die Clients zu bezahlen. Bzw. wenn man die selben Lizenzen wie bei Microsofts ISA haben will. Bei dem nämlich zahle ich keinen Cent für irgend einen Client, nicht für internen Zugriff und nicht für externen Zugriff. Da hält bloss noch Open Source mit, die schlage ich mit anderen Argumenten, nämlich Funktionsumfang, und der ist ziemlich fett beim ISA, und im zu erwartenden Support. Der besondere Charme des ISA liegt danaben aber auch darin, dass er sich nahtlos in die Microsoft Familie integriert, angefangen von der AD-Integration, über spezielle Publishing Rules für Exchange (OWA, OWA over HTTPS), OMA, Sharepoint, WebServices, die Verwaltung und Bedienung, Look and Feel bis hin zum Patchmanagement u.a. Da macht ihn aus meiner Sicht in einem Microsoft dominierten Netzwerk nahezu unschlagbar. Und das erkennen auch immer mehr Firmen/Organisationen. Die Gründe andere Firewalls als den ISA in einem Unternehmen zu verwenden, welches vor allem auf Windows basiert, sind althergebracht, von selbsternannten Security-Experten, und eigentlich überholt. Viele dieser Netzwerker und Firewaller (und kenne in der Kundschaft genügend), sind alte Hasen, bei denen Microsoft und Sicherheit nicht zusammenpasst. Daher kann Microsoft nach deren Meinung auch keine sichere Firewall bauen. Tun sie aber seit 7 Jahren, und mit ISA 2004 und 2006 auch stark verbesserte. Stattdessen schmeisst man lieber Checkpoint 40.000, 50.000 und mehr Euros nach, um nachher dann doch einen ISA zu betreiben, erst als reiner One NIC Proxy, später, weil OWA und OMA halt doch viel einfacher, schneller und besser mit einem ISA zu realisieren sind, dann auch als FW. Naja. Schafft ja auch Arbeitsplätze :D Nein, ich bin kein zweiter Tom Shinder, ich sehe auch die Kritikpunkte, die ich als (selbsternannter) ISA-Experte habe. Zum einen im VPN-Bereich: der größte Vorteil des ISA gegenüber allen anderen ist, man hat zumindest mit Microsoft Clients den VPN-Client schon integriert. Aber was die Encryption angeht, da fußt das ganze auf dem drunterliegenden OS, und da bietet Microsoft bisher nur PPTP mit max. 128 Bit an oder 3DES mit 168 Bit. Da haben fast alle anderen mehr und bessere Auswahl. Da sollte Micirosft mal was tun. Fortsetzung folgt ..... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 ISA 2004 und 2006 sind ja schon ein ziemlich anderes Konzept als ISA 2000 und man merkt deutlich, dass man hier viel bei den Hardwarefirewall Herstellern abgeschaut hat, aber doch noch nicht so hundertprozentig. In manchen schwierigeren Szenarien muss man mächtig Hirnschmalz verdampfen und manchmal auch "rumtricksen", um das zu erreichen, was man bei anderen mit 3 Klicks einrichtet. Ich habe das erst neulich leidvoll erleben müssen, als ich bei einem größeren Kunden die Back-End BenHur Firewall durch einen ISA 2006 abgelöst habe. Wenn ich das Hirnen und Rumprobieren jeden Abend in meiner Testumgebung dazurechne, um das zu erreichen, was in der BenHur in weniger als 2 Minuten eingestellt war, habe ich an dem Projekt weniger in der Stunde verdient, als ein Erdbeerpflücker :( Ich kann jetzt wie gesagt für die meisten o.g. Produkte weder Pro noch Kontra anführen, magels Kenntnis. Und eine Empfehlung für einen ISA an den TO soll dieser Beitrag auch nicht sein, denn es gilt immer bei einer Beratung, die einzelnen Bedürfnisse, Anforderungen, Gegebenheiten und KO-Kriterien festzustellen, um dann zu sagen "In diesem Fall wäre XY das am besten geeignete Produkt". Mag es aber als Anhalt dienen, sich über das eine aoder andere Produkt schlau zu machen und dann mit den paar Fakten hier zu vergleichen ... Und abschließend: Ich stelle hier im Forum vor allem bezgl. des ISA immer wieder fest, dass Microsoft indirekt noch an einer Krankheit leidet, und das ist die grafische Oberfläche. Jeder, der XP am laufen hat (oder 2000 oder NT) und es auch hinbekommt, einen 2003 Server aufzusetzen (ist ja wohl wenig ein Problem), fühlt sich dank der ganzen grafischen Oberflächen und des selbstzuerkannten Fachwissens berufen, einen ISA, eine, Exchange, einen SQL, einen Sharepoint usw. aufzusetzen, und sich da durchzufroschen. Frei nach dem Motto, kann ja nicht schwierig sein, das bringe ich mir schon selber bei, wie den Server ja auch. Das mag für den Exchange ja noch angehen, keine Mails, ok, nicht so dramatisch, aber wenn es um den ISA geht, dann geht es als FW um Sicherheit, und da hat man mit ein paar falschen Klicks dann doch (meist auch noch unbemerkt) das Tor zur Hölle da draussen geöffnet. Was will ich sagen: auch wenn's Bunti-Klicki ist, der ISA ist ein Sicherheitsprodukt, und man sollte vor dem produktiven Einsatz sich wirklich gründlich damit auseinandergesetzt haben. Manche Konfigurationen, die mir hier im Board begegnet sind, weil es ging nicht wie man wollte, da hab ich dann mal hier reingeklickt und diese Ports da aufgemacht, oder mal alles aufgemacht zum Testen, ließen mir sich die Nackenhaare sträuben HTH grizzly999 Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 wow das nenne ich mal einen review :) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Stattdessen schmeisst man lieber Checkpoint 40.000, 50.000 und mehr Euros nach, Wieso denn immer auf meine Lieblinge dreschen - schnall das nich:( :D Ne im Ernst, das ist auch ein Irrtum. Check Point kann man mit dem eigenen OS (SPLAT/Linux Derivat), Solaris oder auf einer Windows Büchse betreiben, und das schönste ist, auf der Hardware die man bevorzugt. Andere Hersteller wie WatchGuard oder auch CISCO setzen nur auf ihre Mühlen - und man kann auch gut mit einem Zehntel des von dir genannten Preise fahren. Nun, als HTTP Proxy kann man das Ding auch 'missbrauchen'. Hab den Ausdruck wirklich bewusst gewählt da es merklich nicht wirklich für diesen Zweck gebaut wurde (ohne 3rd Party Unterstützung wohlgemerkt). Was wirklich schick ist, und ich kann mich auch eines besseren behleren lassen, ist das einzigartige Management. Es fasst alle Gateways in einer zentralen Rulebase zusammen - auch Logs werden so zentral gesammelt. Nun, für Kenner ist das ein Segen, aber für Neulinge wohl eher ein Fluch, aber die werden wie erwähnt auch mit einem ISA nicht viel freude haben (oder sie wissen's nicht:p ). Ausserdem finde ich das ganze handling freundlicher als beim ISA - da gibt's mir persöhnlich zu viele Wizards und Geschichten.... aber ist wohl immer so, der eine mag Porsches und der andere fährt auf Lotus (nicht die Software:D ) ab.:wink2: cheers Velius Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Wieso denn immer auf meine Lieblinge dreschen - schnall das nich:( :D Ne im Ernst, das ist auch ein Irrtum. Check Point kann man mit dem eigenen OS (SPLAT/Linux Derivat), Solaris oder auf einer Windows Büchse betreiben, und das schönste ist, auf der Hardware die man bevorzugt. Andere Hersteller wie WatchGuard oder auch CISCO setzen nur auf ihre Mühlen - und man kann auch gut mit einem Zehntel des von dir genannten Preise fahren. Ich meinte damit vor allem die Lizenzen und redete ungenannterweise von größeren mittelsständischen Unternehmen, also > 1.000 User die das Ding benutzen. Und da ist wohl auch bei Checkpoint egal, was da drunter läuft, wenn du mit 1.000 User raus willst, brauchst du (ab der 251. IP) die unrestricted license, was kostet die gerade? :p grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Ich meinte damit vor allem die Lizenzen und redete ungenannterweise von größeren mittelsständischen Unternehmen, also > 1.000 User die das Ding benutzen. Und da ist wohl auch bei Checkpoint egal, was da drunter läuft, wenn du mit 1.000 User raus willst, brauchst du (ab der 251. IP) die unrestricted license, was kostet die gerade? :p grizzly999 Klar, die kostet etwas (details hab ich grad keine), aber 50 G??:suspect: Eher weniger... EDIT: Hab gerade mal nachgekuckt, und mit unter 15'000 $ kommst du weg bei mehr als 500 Usern... und das bei den richtig fetten Teilen - es gibt auch schmalere Angebote. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Okay, waren eher DM-Preise https://pricelist.checkpoint.com/pricelist/US/PLUSGeneral/generallist.jsp Aber Zusatzsoftware für Enterprisemanagement muss ich zahlen, und für das muss ich extra zahlen, udn vielleicht noch für das, sogar das Real Time Upgrade Modul kostet 1.750$ :shock: (bei Microsoft nennt sich das glaube ich "Automatic Updates" und kostet nix :D ) Also wenn wir hier nicht nur von 50-100 Usern reden, dann wird der ISA bis 500 und drüber immer günstiger ;) grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Okay, waren eher DM-Preise https://pricelist.checkpoint.com/pricelist/US/PLUSGeneral/generallist.jsp Cool, hatte dieselbe Liste eben vor'm Gesicht.:D :thumb1: Ne, ist schon klar das der Preiskampf in diesem Falle an MS geht, seh die Stärke ja auch anders verteilt. c ya P.S.: Haben hier aber auch noch einen ISA2006 - fall ich jetzt Ungnande deswegen??:eek: :p Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.