Jump to content

Welche Firewall?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Abend,

 

aus einem anderen Thread ging hervor, dass ich eine Firewall mit Reverse Proxy benötige. Ich habe mich dann für eine Sophos SG230 entschieden aber noch nicht gekauft. Nun kam der Wunsch auf nach Alternativen zu suchen, weil die jährlichen Gebühren mit ca. 2800 €  (Fullguard) doch nicht ganz so gering sind. Nun gibt es ja unzählige Hersteller und nicht immer ist es ganz leicht den Lizenzdschungel zu durchblicken. Ich weiß, dass pauschale Fragen immer schwer, manchmal auch gar nicht, zu beantworten sind. Aber ich frage trotzdem mal.

 

Welcher Hersteller käme eurer Meinung nach in Frage wenn die jährlichen Gebühren nicht über 1000 € liegen sollen?

 

  • Netzwerk mit 75 Clients

  • Firewall / Packetfilter, Router / Gateway in einem Gerät

  • Loadbalancing über 4 WAN-Leitungen (ausgehend)

  • Port-Freigabe mit URL-Filterung (Reverse-Proxy  :) )

  • VLAN-Routing zwischen einzelnen VLANs

  • DHCP-Server für verschiedene VLANs bereitstellen

  • Möglichkeit ein VPN zwischen zwei Standorten aufzubauen

  • SSL-VPN für RDP-Sitzungen

Bei meiner Recherche (Securepoint, Watchguard, Gateprotect usw.) bin ich immer deutlich über den anvisierten 1000 € Gebühren pro Jahr gelegen. Ich hoffe jedoch, dass ich da etwas übersehen habe.

 

Ich hoffe trotz der etwas sperrigen Frage auf Antworten.

 

Grüße

Link to comment

Na ja,

was erwartest Du!? Wenn man ein Rundum-Sorglos-Glücklich-Paket haben will muss man entsprechend tief in die Tasche greifen. Wir Zahlen für 50 aktive User 1500€/Jahr. Macht 30€ pro User/Jahr.

M.E. ein durchaus angemessener Preis für eine umfassende Sicherheitslösung.

Benötigst Du wirklich Fullguard!? Bei Deiner Aufzählung fehlt mir z.B. AV- und Spamfilter und Content-Filterung! Gerade hier greifen die Hersteller ja i.d.R. auf Engines externer Hersteller zu, so dass allein dafür schon nicht unerhebliche Lizenzgebühren anfallen.

 

Wenn es partout günstig sein soll fallen mir sofort die "Community"-Editionen einiger professioneller UTM-Anbieter ein. Kostet dann gar nichts (außer Zeit)! Endian Firewall oder Smoothwall seien hier mal beispielhaft genannt.

Auch die OpenSource Firewall pfsense sollte alle Deine Anforderungen abdecken können.

Das Problem beginnt hier zumeist beim Support. Irgendwann tauchen dann eben doch Fragen/Anforderungen auf, die sich nicht mehr mal eben über das Userforum klären lassen. Da ist man dann im Zweifel froh auf einen kompetenten DL oder den Hersteller zurückgreifen zu können.

 

Ach ja, bei der Kostenüberlegung sollten auch die VPN-Clients mit einbezogen werden. Wir haben seinerzeit die bekannten NCP-Clients genutzt. Da kommen dann auch nochmal ganz schnell 50€ pro VPN-Client dazu! Inzwischen setzten wir OpenVPN ein. Da fallen dann keine weiteren Lizenzkosten mehr an.

Edited by monstermania
Link to comment

Vielen Dank für eure Antworten.

 

Endian Firewall oder Smoothwall kannte ich nicht, PFSense habe ich mir mal grob angeschaut. Ich glaube der Faktor Zeit ist da das KO Kriterium.

 

Sophos:

Fullguard benötige ich tatsächlich nicht. Um das was ich habe zu ersetzen würde die Lizenz Network Subscription für grob 800 € genügen. Aber aus einem anderen Thread ging hervor (wenn auch nicht eindeutig), dass ein Exchange nicht einfach per Portfreigabe veröffentlicht werden soll, sondern mit einem Reverse-Proxy. Die Webserver-Protection kostet grob 1000 €, macht zusammen 1.800 €. Für 1000 € mehr, also 2.800 € (Fullguard) bekomme ich dann aber alles andere mit dazu. Durch die Fullguard-Lizenz erhält man ja praktisch ca. 40% Rabatt auf die Einzellizenzen.

 

Nun gut, den gesuchten Geheimtipp gibt es wohl nicht. Entweder Geld, oder Zeit (PFSense).

 

Vielen Dank

Link to comment

Hi,

da hake ich doch nochmal nach. Könntest dur mir das kurz erläutern, warum die Sicherheit nicht zwingend erhöht wird? Deine Meinung passt dazu: Lt. einem Blog von MS https://blogs.techne...y-as-you-think/  ist ein Reverse-Proxy nicht mehr nötig. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht."

 

Evtl. ist ein Reverse-Proxy für den Exchange tatsächlich nicht mehr notwendig und ich wäre mit einer einfachen Portfreigabe ein Earlyadopter :cool: .

 

Schönen Abend

Link to comment

Da wärest du mit Sicherheit nicht mehr sehr early. Definier doch mal deine Anforderungen, und Vergleiche mit dem, was du per portweiterleitung bekommst gegenüber dem Reverse proxy. Abgesehen von Pfad Filter nutzen viele ja kaum die Möglichkeiten, bzw. verlassen sich dann eben auch auf die Wizards der Firewall und kontrollieren das selten bis nie. Und für Outlook anywhere und Mapi http wird's dann fast immer abgeschaltet. ;)

Link to comment

Die Anforderungen habe ich mir überlegt. Es ist tatsächlich so, dass ich "nur" die URLs filtern will. Mir gefällt nicht, dass bei einer Portfreigabe /ecp usw. auch erreichbar ist. Aber du hast recht. Ich habe mich etwas durch verschiedene Foren gelesen. Es gibt oft Tipps wie, schalt diesen oder jenen Schalter an. Diese Schalter haben dann meist die Namen PassThrough, XY ignorieren. Dann habe ich einen Reverse-Proxy nur um einen zu haben. Bleibt die URL Filterung. Ich muss da noch schlauer werden. Vielleicht werde ich einer der üblen Portweiterleiter.

Link to comment

Vielleicht werde ich einer der üblen Portweiterleiter.

Damit wärst Du in guter Gesellschaft. Schau mal in die Foren der diversen Firewall-Anbieter. Viele Freds behandeln Probleme mit der Konfiguration des Reverse-Proxy.

Wir nutzen z.B. auch keinen Reverse-Proxy, obwohl unsere Firewall das schon könnte.

 

PS: Ein Reverse-Proxy wird ja nicht zwangsläufig nur eingesetzt um die pot. Sicherheit zu erhöhen. Wenn Du hinter einer öffentlichen IP mehrere Server auf den gleichen Ports anbinden willst bleibt hilft Dir ein Reverse-Proxy auch.  

Link to comment

je nach business sollte man durchaus erwägen diese Funktionen nicht allesamt auf eine Box zu legen. Meistens kann eine Lösung die vieles kann, eben nicht alles ausreichend gut und man kreiert sich einen super SoF, cluster hin oder her (der fängt ohnehin nur HW Probleme ab). habe schon zu oft Probleme auf diversen Firewalls oder Routern gehabt und war sehr froh das zumindest andere Teile des unternehmens weiter funktioniert haben

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...