Grundsätzliches zu Firewall Appliances und Co

[firefox80 10]

Hallo Leute!

 

Ich hab mir einige Artikel über sie Suche rausgefischt und hab mich schon etwas vorinformiert. Ein paar Fragen hätt ich aber an euch, da ich mit Firewall Lösungen noch recht wenig zu tun hatte. Die 70-350 werd ich dieses Jahr wohl auch noch machen.

 

Grundsätzlich möchte ich mich über Lösungen für kleine Netzwerke (bis 30 User) informieren.

 

Mir ist da vorrangig die Watchguard X Edge Serie ins Blickfeld geschossen.

Diese wird ja von vielen gelobt und ist noch dazu recht günstig zu haben. Auch die Features WLAN und AntiSpam/VirusWall klingen sehr verlockend.

Zwingend erforderlich für meine Pläne ist eine VPN Funktionalität.

 

 

 

1. Frage: Benötigt man für alle Firewalls eine Client Software für die VPN Einwahl oder kann bei manchen auch die VPN-Netzwerkverbindung von XP benutzt werden? Sind das dann einfach verschlüsselte IPSec Verbindungen oder echte Tunnel?

 

2. Frage: Muss man die Einwahlbenutzer auf der Appliance eintragen, oder kann man das an ActiveDirectory weiterleiten? (RADIUS?)

 

3. Unterstützt die Edge WLAN über RADIUS?

 

4. Weiß jemand, welcher Hersteller hinter der Antivirus Lösung der Edge steckt?

 

5. AntiSpam: POP3 und SMTP?

 

6. ISA Server: Sicher "mächtiger" aber vor allem preislich nicht mehr vergleichbar oder? Auf einer 2003 Web Edition ist die Installation sicher nicht möglich denk ich mal (technisch und/oder lizenzmäßig)?

 

7. Cisco PIX 501 wäre sicher noch eine Alternative. Zwar etwas teurer, und der ganze Schickschnack fehlt aber man zahlt ja gerne für den namen :D Was meint ihr dazu? Gibt es sonst noch tips für solche kleinen netzwerke, die meist nur einen VPN zugang brauchen?

 

Dank euch schon mal für die Anregungen!

FireFoX

[Sailer 11]

Hallo Firefox,

 

kann dir nur allgemeine Antworten geben da ich die Watchguard X Edge Serie im Speziellen nicht kenne.

 

zu 1) i.d.R. sollte jede Firewall auch ohne speziellen Client zurecht kommen und auch mit dem IPSec Client von WinXP o.ä. klar kommen. Die "speziellen" Clients bieten halt meist noch ein paar tolle Zusatzfeatures wie z.B. Desktop Firewall am PC/Laptop, bessere zentralle Managebarkeit usw.

 

Sind das dann einfach verschlüsselte IPSec Verbindungen oder echte Tunnel?

Kennst du denn den Unterschied? :suspect:

 

IPSec kann man im TunnelMode oder im TransportMode ausführen. In beiden Fällen wird die Payload verschlüsselt aber im TunnelMode wird zusätzlich ein neuer IP-Header kreirt und vorgeschalten.

Übers Internet wirst du sowieso im TunnelMode fahren müssen.

 

zu 6) da sag ich besser nichts dazu, ich hab so meine Vorurteile was Security-Devices angeht :D

 

zu 7) Da mir, wie schon gesagt, der Vergleich zur Watchguard fehlt, kann ich hier nur mal generell in den Raum stellen: Cisco weiß wie man Netzwerkt :wink2:

[Userle 140]

Es hat da sicherlich so jeder seinen Favorite. Ich "steh" auf Astaro (Astaro Internet Security - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam..

Appliances in jeder Größe und Ausstattung. Auch gibts die reine Software zum Appliance selber basteln. Schaus Dir einfach mal als Alternative an - Mehr Infos ? Dann nehme man am nächsten Ruhrgebiets Treffen teil :D http://www.mcseboard.de/off-topic-18/boardtreffen-ruhrgebiet-31-08-2007-kleve-115489.html

 

Greetings Ralf

[IThome 10]

Ich würde an Stelle der Edge aber doch eher zu einer Core greifen (auch wenn sie deutlich teurer ist) ...

Die Edge WLAN unterstützt kein RADIUS, ich würde da lieber einen extra Accesspoint wählen.

Hinter dem Virenschutz der Edge steht imho Clam AV ...

Mit dem Auswählen der Benutzer aus dem Active Directory bin ich mir nicht ganz sicher, glaube aber, dass das nur mit ner Core geht (Authentifizierung via XAUTH), da kann ich am Montag aber noch mal nachsehen. Ich lege auf den Edges, die in der Regel in kleineren Zweigstellen stehen und sich mit Cores in der Hauptstelle verbinden, die Benutzer auf der Box an (für jeden Benutzer einen anderen PSK).

Bei den meisten mir bekannten Firewall/VPN Appliances wird ein spezieller IPSec-Client benutzt, bei einer Watchguard habe ich noch keine IPSec-Verbindung ohne diesen Client (Safenet) hinbekommen ...

[James75 10]

Checkpoint bietet auch so ne kleine Appliance an, wenn wir schon beim thema ein wenig für den namen bezahlen sind ;)

 

gruss

James

[Alforno 10]

Ich bin gerade auf der Suche nach einer passenden Lösung für ein kleines LAN.

 

Kann jemand zu den Watchguard Geräten (edge serie) preislich mal eine Hausnummer nennen?

Nur die grobe Richtung.

 

Danke.

 

mfg

Alforno

[Volvotrucker 10]

die X10e als UTM-Bundle liegt so um die 500 €uronen netto, wenn ich das noch richtig im Kopf hab.

[jinroh 10]

Du kannst auch mal bei sonicwall vorbei schauen.

[srkonus 10]

Hallo,

 

was ich empfehlen kann, ist Astaro. Theoretisch kann man die 30 Tage testen, und den entsprechenden Rechner selbst stellen. Eine Fertige Lösung bevorzuge ich allerdings.

Was die Einstellungen betrifft, sind diese bequem über eine Weboberfläche zu treffen, die entsprechende Hilfe ist auch in Ordnung.

Preiswert, ein Linux als Unterbau, Spam- und Virenfilter, VPN Funktionen, IDS und IPS und und und. leider werde ich meine Ende des Monats abschalten müssen, Sie wird aufgrund einer neuen Internetverbindung nicht mehr verwendet. Na ja, da nehme ich Sie mit nach Hause und installier Version 7 drauf, privat ist Astaro nämlich kosenlos.

 

srkonus