Firewall - Kaufberatung

[zmaier 10]

Hallo!

 

Ich möchte unsere Firewall erneuern und brauche eure Hilfe.

 

Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

 

Die Firewall sollte IPsec Site to Site Tunnels können (können das nicht e schon alle).

 

Weiters wäre nicht schlecht, wenn die FW DHCP, bzw. DNS Server für das Intranet ist.

 

Was gibts da? Habt ihr Erfahrungen mit gewissen Modellen/Herstellern? Was muss man da ca. investieren?

 

Freu mich schon auf eure Meinungen.

 

Schöne Grüße

Martin

[Blacky_24 10]

Cisco PIX

WatchGuard FireBox

Sonicwall

 

und noch tausend andere.

 

Mittlerweile gibt es auch diverse Anbieter die den Microsoft ISA 2004 in eine 19"-Kiste stopfen und das als "Hardware-Firewall" verkaufen.

 

Wenn es eine Hardware-FW sein soll auf jeden Fall etwas von einem etablierten Hersteller kaufen bei dem langjähriger Support und Softwareupdates und Ersatzteilversorgung sicher gestellt sind.

 

Wenn Ihr extern nur eine öffentliche IP-Adresse habt ist die PIX nicht unbedingt das Richtige für Euch.

 

Die PIX ist ab ca. EUR 400,-- zu bekommen.

 

Gruss

Markus

[zmaier 10]

Hi!

 

Hab ich ganz vergessen, wir haben natürlich mehrere IPs.

 

Hab das ins Bild hinzugefügt.

[srkonus 10]

habe sehr gute erfahrung mit astaro gemacht :jau:

[cyrus the virus 10]

hi,

 

wie wärs mit ner Checkpoint auf ner Nokia-box. Ist somit das beste was es am Markt gibt :D

[Basran 10]

Die meisten Hardware-Firewalls basieren auf Linux, BSD und manchmal auf ISA2004. Daneben gibts noch einige herstellereigene Plattformen. Wichtig ist ein vertrauenswürdiger Hersteller, der auch nach Jahren noch Updates liefert. Firewalls sind auch nur Software und damit gibts da auch Bugs und Löcher.

Dann stellt sich noch die Frage nach den weiteren Funktionen bzw Service:

Hardware Firewalls auch als VPN Server oder den VPN Traffic nur durchleiten?

Wie "tief" soll gefiltert werden? Nur nach Port und IP? Auch nach Protokoll. Das kann inzwischen wohl jede Firewall. Soll auch nach Inhalt gefiltert werden? Dann kann nicht jede.

Wer soll die Kiste konfigurieren? Das ist meist garnicht so einfach.

Ich hab bestimmt noch einiges vergessen...

 

Mich irritiert auf Deinem Bild die Verbindung von LAN in die DMZ.

[PAT 10]

Bisher hatten wir eine Linux Software Firewall, die ich in nächster Zeit gegen eine Hardware Firewall auswechseln möchte.

Wenn die auf einem separaten Computer installiert wurde, ist das schon eine "Hardware-Firewall". Wenn die gut funktioniert, gibt's doch eigentlich keinen Grund, die zu ersetzen, oder?

[caugusto70 10]

ich habe mit watchguard firebox x gute erfahrungen gemacht die firebox 1000 haben wir mit 150 user im einsatz ist sehr gut auch von der geschwindigkeit..

astaro kann ich dir auch anraten..

ist aber alles eine kostenfrage firebox 1000 glaube ich 2000 -2500 euro...

die nokia firewall wird viel treurer sein ...

[s21it21 10]

hello,

 

prinzipiell würde ich mir auch die frage stellen, warum das vpn-gateway eine direkte verbindung ins lan hat. ich würde das auch über die firewall routen. somit gibt es absolut keine verbindung ins lan.

 

ich würde auch zu einer checkpoint auf einer nokia-box empfehlen. günstiger wirds auf einer secureguard-plattform...

 

lg

martin

[motzel 10]

Hallo,

 

ich würde eine astaro appliance empfehlen.

 

z.B. unter http://www.voltra.net/loesungen/firewall/astaro.php

 

mfg

 

motzel

[Nonaminus 10]

Das ist eine Frage des Geldes. Eine Nokia Box ist nicht billig. Das sit Checkpoint nie. Aber dafür sind die richtig gut.

 

Ich würde mir mal die Pix und den ISA 2004 anschauen.

[dready 10]

Kuck dir doch mal die bintec vpn gateways an. Gibts in jeder Größe, kosten nicht die Welt und man unterstützt nen deutschen Hersteller. Und man kriegt noch nen ISDN Fallback Port dazu wenn mal die Leitung ausfällt oder man was faxen will.

 

http://www.bintec.de/de/index.php?r=prod/vpn_access&m=navbar.html&c=index.html

 

Gruß

 

pepe

[Velius 10]

ich würde auch zu einer checkpoint auf einer nokia-box empfehlen. günstiger wirds auf einer secureguard-plattform...

 

lg

martin

 

[pedanterie on]

 

Kosmisch, aber du meinst wohl SPLAT (Secure Platform), oder? :suspect: :D

 

[pedanterie off]

[srkonus 10]

ich habe eine astaro security linux gekauft. sehr einfach zu konfigurieren, läuft stabil, und bis jetzt nur ein bug.

http und smtp proxy sind bei uns im einsatz, das ding läuft einfach :D

[dippas 10]

Manchmal ist es auch hilfreich, die Größe des zu schützenden Netzes zu erfahren. Ne kleine Kiste ist zwar günstiger, aber wenn ne große gebraucht würde?

 

Nähere Angaben helfen Dir auch bei der Auswahl unserer Vorschläge ;-)

 

Ansonsten meine empfehlung:

 

Netscreen 25 von Juniper

 

- eigenes/properitäres OS

- vertrauenswürdig

- mit 2 DMZ-Ports

- alles was man an Firewalltechnik braucht (see datasheet ;-)

 

http://www.juniper.net/products/integrated/

 

Die Frage nach der Verbindung DMZ/internes LAN interessiert mich aber auch. Gibt es einen Grund für dieses Sicherheitsloch?

 

Astaro ist auch zu empfehlen, weil (hardwaremäßig einfach) erweiterbar.

 

grüße

 

dippas