Jump to content

ISA Server 2006 auf DC ? Erfahrungen damit ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

Aus meiner sicht benötigt man auch keinen ISA Server in einer kleineren Firma. Ich würde einen neuen DC-Server kaufen und ne ZyXEL ZyWALL oder was vergleichbares in diesem Preissegment.

gruss

 

Hmm der ISA ist in diesem Fall aber bereits vorhanden. Abgesehen davon hängt die Verwendung einer Firewall (einer bestimmten) auch nicht direkt mit der größe einer Firma zusammen.

Technisch kann der ISA Einiges, was andere Firewalls nicht können, oder nur langsam mitliefern. Gerade im Bereich Authentifizierung und Exchangeveröffentlichung geht es eigentlich kaum besser/einfacher.

 

Bye

Norbert

Link zu diesem Kommentar
Eine Watchguard Firewall.

 

Wo ist da der Vorteil gegenüber dem ISA?

 

Bye

Norbert

Authentifizierung etc.), aber ich denke dass für viele Fälle auch eine "normale" Hardware Firewall reicht, die immerhin wesentlich schlanker vom Softwareumfang ist.

 

Hmm was hat der Softwareumfang einer Firewall damit jetzt zu tun? Weil ein etwas größeres System mehr Sicherheitslücken haben kann? ;) Nee wirklich...

 

Um mal zu zeigen, was ich vorhin mit Appliances meinte:

Pyramid Computer GmbH - Modelle ValueServer SEC Das kommt dem, was viele als Hardwarefirewall bezeichnen schon recht nahe.

 

Und im Gegensatz zu vielen "Hardwarefirewalls" trauen sich das normale Admins auch zu patchen, da MS den ISA einfach komplett über Windows Update oder WSUS mitversorgt.

 

Aber wie gesagt, der TO hat den ISA (als Lizenz bereits), es wäre also meiner Meinung nach sehr viel sinnvoller den weiterhin zu nutzen (auf neuer oder älterer Hardware) als jetzt was anderes und eventuell weniger leistungsfähiges anzuschaffen.

 

Bye

Norbert

Link zu diesem Kommentar

- Schmales Konfigurationsinterface

- Läuft stabil mit einer Uptime jenseits von gut&böse

- Liefert uns garantiert 1000 mbit (Forschungsnetz)

- Bietet sogar VPNs die sich gegen AD authentifizieren können

- Software wird passend zur Hardware verkauft (Appliance)

 

Letztendlich haben wir diese Firewall gekauft weil sie absolut stabil läuft. Da gab es in den letzten 3 Jahren nicht einen nötigen Reboot wenn man nicht gerade eine neue Firmware aufgespielt hat.

Link zu diesem Kommentar

- Schmales Konfigurationsinterface

- Läuft stabil mit einer Uptime jenseits von gut&böse

- Liefert uns garantiert 1000 mbit (Forschungsnetz)

- Bietet sogar VPNs die sich gegen AD authentifizieren können

- Software wird passend zur Hardware verkauft (Appliance)

 

Letztendlich haben wir diese Firewall gekauft weil sie absolut stabil läuft. Da gab es in den letzten 3 Jahren nicht einen nötigen Reboot wenn man nicht gerade eine neue Firmware aufgespielt hat.

 

Kosten?

Das Thema Uptime kommt irgendwie bei sowas immer. Wenn ich nicht patche, dann brauch ich auch sonst keinen Server booten. ;)

 

Bye

Norbert

 

PS: Ja der letzte Satz ist mit Absicht mit Smiley.

PPS: Nur mal noch als Bemerkung. Es gibt sicher Features die der ISA auch nicht kennt/kann. ABER: Du sprichst oben von 1GBit Durchsatz. Meinst du ernsthaft, dass das für den TO von Bedeutung ist? ;)

Link zu diesem Kommentar

ich würde schon behaupten das die firewall eine abhänigkeit zur grösse der firma hat(anz. sessions, durchsatz(vpn), funktionen etc...um so mehr user umso mehr benötigt man).

 

ausserdem muss man das hostsystem nicht warten und unterhalten, was auch ziemliche kosten verursacht(hardware, windows lizenz, administrationsaufwand etc...)

 

das der isa eine sehr gute firewall ist stimme ich dir absolut zu, habe selber bei einigen kunden die kiste im einsatz und bin absolut begeistert....aber eben unsere kunden mit isa bewegen sich ab 50 user aufwärts...

 

gruss

Link zu diesem Kommentar
Wo ist da der Vorteil gegenüber dem ISA?

 

SSL-VPN, Policy Based Routing, Webblocker, Antispam, Antivirenschutz auf dem Gateway, günstiger (wenn man es mit Rechner, ISA und Serverversion vergleicht. Was ´ne ISA-Appliance kostet, weiss ich nicht) und mehr fällt mir jetzt nicht ein ... :) Die Büchsen haben natürlich auch Nachteile gegenüber dem ISA, aber irgendwas ist ja immer ... :D

Link zu diesem Kommentar
ich würde schon behaupten das die firewall eine abhänigkeit zur grösse der firma hat(anz. sessions, durchsatz(vpn), funktionen etc...um so mehr user umso mehr benötigt man).

 

Klar. Der ISA skaliert meines WIssens nach ziemlich gut nach oben mit. :)

(siehe auch meinen Hinweis im vorigen Posting. Es geht mir immer noch um den TO)

 

ausserdem muss man das hostsystem nicht warten und unterhalten, was auch ziemliche kosten verursacht(hardware, windows lizenz, administrationsaufwand etc...)

 

Warum muß man die nicht warten? Die sind fehlerfrei?

 

das der isa eine sehr gute firewall ist stimme ich dir absolut zu, habe selber bei einigen kunden die kiste im einsatz und bin absolut begeistert....aber eben unsere kunden mit isa bewegen sich ab 50 user aufwärts...

 

Ich schrub ja schon. Auch der ISA ist nicht der Weisheit letzter Schluß. Bspw. kann er kein Static NAT oder Policy Based Routing. Aber trotz alledem hat der OP den schon. Es gibt also aus meiner Sicht keinen Grund, warum er den wegwerfen sollte und statt dessen eine, wie auch immer geartete, andere Lösung anschaffen sollte. :)

 

Bye

Norbert

Link zu diesem Kommentar
Kosten?

Das Thema Uptime kommt irgendwie bei sowas immer. Wenn ich nicht patche, dann brauch ich auch sonst keinen Server booten. ;)

 

Bye

Norbert

 

PS: Ja der letzte Satz ist mit Absicht mit Smiley.

PPS: Nur mal noch als Bemerkung. Es gibt sicher Features die der ISA auch nicht kennt/kann. ABER: Du sprichst oben von 1GBit Durchsatz. Meinst du ernsthaft, dass das für den TO von Bedeutung ist? ;)

Also ich muss des öfteren einen Windows Server mal durchbooten.

Gerade wenn mal wieder Patchday war und ein Reboot dringend erforderlich ist ;)

Bei Watchguard kommen die Patches vielleicht alle 2-3 Monate. Da gibt's nicht viel zu stopfen. Und meistens sind die Patches sogar reine Featurepakete.

 

@Durchsatz:

Die Watchguards gibt es natürlich auch in verschiedenen Dimensionen.

 

Ich wollte einfach nur mal das Thema Hardwarefirewalls in den Raum werfen. Es muss ja nicht immer ein ganzer ISA+Windows sein.

Link zu diesem Kommentar
SSL-VPN

 

Wenn ich das höre... Nein ich sag nix ;)

 

Policy Based Routing,

 

ACK.

 

Webblocker

 

Standardmässig enthalten? Oder als Zusatzmodul?

 

Antispam

 

Das Letzte, wirklich das Letzte was ich meinen Kunden empfehle ist die Verwendung dieser Spamfilter in den Firewalls (Astaro kenn ich da persönlich).

 

Antivirenschutz auf dem Gateway

 

Für Web? Kann man brauchen.

 

günstiger (wenn man es mit Rechner, ISA und Serverversion vergleicht. Was ´ne ISA-Appliance kostet, weiss ich nicht) und mehr fällt mir jetzt nicht ein ... :) Die Büchsen haben natürlich auch Nachteile gegenüber dem ISA, aber irgendwas ist ja immer ... :D

 

Die Kosten hab ich auch nicht hier. Aber geschenkt gibts auch eine Appliance nicht. :)

 

Bye

Norbert

Also ich muss des öfteren einen Windows Server mal durchbooten.

Gerade wenn mal wieder Patchday war und ein Reboot dringend erforderlich ist ;)

 

Ja genau. Wenn Patches kommen die Lücken stopfen. Wobei bei einer korrekt konfigurierten Firewall (unabhängig davon obs jetzt ein ISA oder bspw. ne Checkpoint ist) nicht jeder Patchday sofort durchgeführt werden muß.

 

Bei Watchguard kommen die Patches vielleicht alle 2-3 Monate. Da gibt's nicht viel zu stopfen. Und meistens sind die Patches sogar reine Featurepakete.

 

Ist doch gut. Ich müßte mal nachschauen wie oft ich im Normalfall meinen ISA Server boote. Aber der REcord für ne windowsbasierte Firewall (Checkpoint NG) lag unter Windows 2000 bei 348 Tagen. Dann hab ich doch lieber mal Patches nachgezogen. ;)

 

Die Watchguards gibt es natürlich auch in verschiedenen Dimensionen.

 

Was sich dann aber auch im Preis niederschlägt, oder?

 

Ich wollte einfach nur mal das Thema Hardwarefirewalls in den Raum werfen. Es muss ja nicht immer ein ganzer ISA+Windows sein.

 

Für mich ist ne Hardwarefirewall aber auch nix unveränderliches. Es ist eben ein Rechner der als Blackbox geliefert wird und trotzdem regelmässig gepatcht werden muß/sollte. :)

 

Bye

Norbert

Link zu diesem Kommentar

Was hast Du gegen SSL-VPNs ? ;) Antispam, Webblocker und Antivirus sind Optionen, die allerdings auch als Bundle mitverkauft werden. Was man Kunden von solchen Appliances immer mit auf den Weg geben muss, dass jährliche Kosten entstehen, wenn es auch nur die Livesecurity ist (die nicht nur aus Updates besteht).

Antivirus ist u.a. auch für HTTP-Proxies verfügbar und der Spamfilter arbeitet auch zuverlässig. Naja, ich persönlich bevorzuge diese Appliances gegenüber jedem ISA-Server, was aber eine persönliche Vorliebe ist ...

Link zu diesem Kommentar
Was hast Du gegen SSL-VPNs ? ;)

 

Ich glaub', ich sag lieber nix mehr. :)

 

Spamfilter arbeitet auch zuverlässig.

 

Benutzen die Pattern, oder wie funktioniert das in dem Fall? Wie gesagt die Astaro-Lösung finde ich persönlich zum K...en. Aber vielleicht liegts ja daran, dass ich besseres gewöhnt bin ;)

 

Naja, ich persönlich bevorzuge diese Appliances gegenüber jedem ISA-Server, was aber eine persönliche Vorliebe ist ...

 

So hat halt jeder seine Meinung. Was auch gut so ist. :)

 

Schönen Abend noch

Norbert

Link zu diesem Kommentar
Ja, die benutzen Pattern ...

 

Ich bin kein Freund von "erst annehmen und dann markieren/wegwerfen/quarantänieren".

 

Zum Thema SSL-VPN ;) Schlechte Erfahrungen gemacht oder biste generell gegen diese Art VPN (die Gründe würden mich dann interessieren) ?

 

Ach nööö. Sagen wir: persönliche Abneigung gegen diese Technik. Nix konkretes. :)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...