Hardware Firewalls - Erfahrungsaustausch

[chr1zZo]

Ich hoffe hier einige zu finden die diverse Hardware Firewalls, UTM's, OpenSource Lösungen im Einsatz haben oder auch im Business betreiben.

Ich habe schon so einige Erfahrungen sammeln können mit pfSense, Opensense, Sophos, Unify, Fortinet.

Mit Sonicwall und Watchguard hatte ich noch keine Erfahrungen.

Mir geht es hier nicht um private Einsatzmöglichkeiten, sondern schon um den Erfahrungsaustausch mit Foren Usern die sowas sagen wir im Small - Medium Business einsetzen.

Wir wissen alle, jede Lösung hat Vorteile und Nachteile. Bei dem einen sind es die Lizensen, der schlechte Support, das schlechte GUI usw.
Natürlich steht immer der Einsatzzweck und der Kostenaufwand an erster Stelle bei Planung solcher Lösungen.

Vielleicht kann ja der eine oder andere mal Reporten was er einsetzt, in welchem Umfeld und auch in welcher Größe, was er gut findet oder schlecht.

Ich weis, man sollte sich Spezialisieren auf 1-2 Produkte. Aber ich habe schon Unternehmen von Produkt A auf B wechseln sehen. Und das kann ziemlich ecklig werden.


Würde mich über eine Beteiligung von diversen Nutzern freuen. Mit Messen, Konferenzen, Workshops sowie Seminaren ist es ja nicht gerade so, wo man Smalltalk halten kann.

 

[Simanova]

Im Prinzip kann man die Liste recht einfach abarbeiten.
Falls du Robin Crusoe heisst und neben Nahrungssuche und Wohnungsbau noch Zeit hast, hol dir eine Opensource HW Firewall. Falls nicht, gehts direkt mit den richtigen Firewalls weiter.

1) Sophos - Preislich leider unattraktiv, aber ansonsten ein guter Mix aus Funktion, Sicherheit und Bedienbarkeit
2) Sonicwall - Die Sicherheitslücken und Exploits sind so vielfältig, dass mittlerweile Hackergruppen aktiv nach solchen Geräten suchen. Außerdem recht unperformant, dein Gameboy hatte vor 15 Jahren vermutlich eine bessere CPU verbaut.
3) Unifi - Der Underdog und Newcomer, leider ist das Portfolio sehr breit gestreut und der Fokus liegt nicht auf Firewalls. Außerdem ein geschlossenes Ökosystem vergleichbar mit Apple-Geräten.
4) Watchguard - P/L sehr gut, breite Produktpalette, GUI modern (zumindest das Webinterface), sehr viel Zusatzfunktionen und faire Lizenzierung, falls du den ganzen Zusatz-Kram nicht brauchst, musst du kein Geld dafür ausgeben. Sicherheitslücken sind meist innerhalb von Tagen behoben.

Ich hoffe das hilft etwas - zu den nicht genannten Herstellern kann ich dir wenig sagen.

 

[Poati]

Wirklich intensiv habe ich nur Erfahrung mit Lancom Gateprotect (Ursprünglich von Rohde & Schwarz). GUI fand ich anfangs arg gewöhnungsbedürftig, wenn man sich an ein paar Eigenheiten gewöhnt hat, geht es aber gut von der Hand und in Anbetracht des Funktionsumfangs ist die Dokumentation brauchbar. Das aller meiste ist dort beschrieben. Ist also von der Einrichtung her in Ordnung und läuft mittlerweile wie ein Schweizer Uhrwerk. Mittlerweile weil die vor meiner Zeit in dem Laden von einem Systemhaus hingestellt wurde mit einer Konfiguration für die man den Dienstleister hätte verklagen müssen. Stand auch zur Debatte, hat sich dann aber doch keiner getraut.

Kurz um: Könnte ich empfehlen. Läuft gut und ist gut zu managen. Man findet im Produktportfolio Ausbaustufen für diverse Größen. Wir liegen im von dir anvisierten Bereich und haben die UF300 im Einsatz.

Liebäugeln tu ich aber mittlerweile eher mit einer Nextgen Firewall von Sophos. Mit anderen Sophos Produkten habe ich bisher nur gute Erfahrungen gemacht und hatte im Rahmen eines Webinars schon die Möglichkeit mir deren aktuellen Firewall-Lösungen zeigen zu lassen. Dagegen ist unser Lancom Teil ein reiner Blindflug. Allerdings laufen unsere aktuellen Lizenzen noch und deshalb muss da der Wechsel noch warten.

 

[xexex]

Mit anderen Sophos Produkten habe ich bisher nur gute Erfahrungen

Sophos - Preislich leider unattraktiv, aber ansonsten ein guter Mix aus Funktion, Sicherheit und Bedienbarkeit

Schon alleine diese Aussagen, zeigen wie wenig Wert solche Aufstellungen sind.

Sophos ist mittlerweile nicht gleich Sophos, weil die bisherige Lösung, die früher mal Astaro hieß und die XG Lösung praktisch nichts miteinander zu tun haben. Beides sind Firmen die von Sophos gekauft wurden und auch wenn sie unter der gleichen Marke verkauft werden, sind sie grundlegend verschieden.

Das könnte man auch gleich weiter führen, denn auch Sonicwall hat mal zugekauft und hier stammen die Lösungen auch aus verschiedenen Händen.

Die Liste lässt sich beliebig weiter führen und führt dann doch letztlich zu nichts. So gut wie alle Lösungen haben ihre Stärken und Schwächen und ein Markenvergleich macht gar keinen Sinn. Man sollte schon genau wissen was man will und welches Budget bereit steht, dann kann man gerne darüber diskutieren welche Lösung diesen speziellen Bereich am besten abdeckt.

EIne Eierlegendewollmilchsau gibt es in diesem Bereich nicht. Schon gar nicht als eine einzelne Appliance aber auch nicht wenn man das ganze Portfolio eines Herstellers nimmt. Der eine braucht VPN Clients für alle möglichen Plattformen, der andere eine gute Web Application Firewall und ein dritter schwört auf einen umfangreichen Application Filter. Kriegst du alles, nur nicht von einem Hersteller und vermutlich auch nicht zu dem Preis den du bereit bist zu bezahlen.

 

[Frettchen!]

Mit Sophos SG Serie arbeite ich beruflich und habe ebenfalls gute Erfahrungen machen können.
Mit der XG Serie konnte ich einerseits nie wirklich "fuß fassen" und kenne mich daher wenig aus, der Tenor ist aber eher Anti-XG, auch hier im Forum soweit ich das sehen konnte.
Sophos ist eh aufgekauft worden, ich bin gespannt wohin die Reise gehen wird....
Mein Ersteindruck der Lancom und R&S Unified Firewalls ist relativ gut, auch von der Hardware her, kenne die aber noch nicht so gut...

 

[Hannibal Smith]

Mhhh da bisher CheckPoint noch nicht genannt wurde, werfe ich die mal in den Raum.
Meiner Meinung nach eine der am besten zu administrierenden Lösungen.
Wobei das ja auch alles persönliches Empfinden ist - ich für meinen Teil finde auch die FortiGates was die Oberfläche angeht ziemlich unterirdisch, andere kommen damit wohl ganz gut zurecht.
Wir setzen von CheckPoint eine Lösung der 6000er Serie als Cluster an unserem Gateway und mehrere der kleineren Lösungen (z.B. 1500er) zur VPN Anbindung unserer Außenstellen ein.

Ich finde deren Hyperscale Konzept Maestro ja auch sehr interessant. Leider kommt das bei uns ehr nicht in Frage da sind wir nicht groß genug

 

[Fard Dwalling]

Wir setzen zur Zeit auch noch pfSense ein. Mit der aktuellen Entwicklung überlegen wir aber auch auf eine Firewall mit Application Security zu wechseln.
Wie sieht das bei euch mit Palo Alto aus? Und Sophos ist aufgekauft? Gar nicht mitbekommen.
OPNSense hab ich privat ein bisschen im Einsatz gehabt und zweimal hat sie sich zersemmelt, so das ich im firmlichen Umfeld eher Abstand nehme.

 

[konkretor]

Es gibt ja noch europäische Anbieter Beispiel Stormshield oder Rohde & Schwarz. Wers richtig Hardcore will genugate von der Bundesdruckerei. Endian gibt es auch noch.

Wieso immer nur Sophos empfohlen wird erschließt sich mir nicht ganz. Das war auch nicht die Frage im Thread.

 

[Evil E-Lex]

Endian gibt es auch noch.

Urks, Endian. Die hab ich in den Appliances von Panda Security kennengelernt. Wenig Features, schlechte UI. Als deutscher Anbieter sei hier noch SecurePoint genannt. Die hatten einen recht guten Support für Reseller und die Produkte waren ganz okay.

 

[esb315]

haben die UF300 im Einsatz

Wir auch. Bedienung ganz ok, aber Performance ein Graus. Haben einige Netze und VPNs drüber laufen. Sollte laut Spezifikation aber kein Problem sein. Die wird nicht ewig bleiben. Sophos steht bei uns auch zur Debatte. Securepoint ist ziemliche Frickelei, aber guter Support.

 

[Poati]

@esb315
Also an der Performance hatte ich bisher nichts auszusetzen. Wir haben unsere Internetleitung auf symmetrisch GBit aufgestockt und das läuft auch über VPN sehr gut. GBit schafft sie bei VPN nicht, aber ich glaube es stehen auch nur 700Mbit im Datenblatt.

 

[Blubmann1337]

Also Sophos UTM ehemals Astaro war und ist immer noch top. Gut ausgereift und eigentlich echt einfach zu konfigurieren. Das Sophos XG OS aka Cyberoam ist noch weit hinter dem UTM OS. Vorteil es ist im Unterbau deutlich performanter und moderner, leider ist das Webinterface dagegen recht langsam, stellenweise unübersichtlich und manche Konfigurationen sind nicht durchdacht. Vor allem das Umdenken der NAT-Regeln von v17 auf v18 war ein Krampf. Außerdem fehlen diverse Funktionen, die die UTM geboten hat. Stichwort Lets Encrypt Integration, planbare Updates übers Webinterface (und nein Sophos Central finde ich kein Ersatz dafür)...Also man merkt deutlich, dass die XG auf das Ökosystem Sophos angepasst ist, möglichst alles Central zu erfassen, Firewall, Endpoints, bald auch Switche. Also insgesamt eine große Umgewöhnung, aber machbar. Dennoch sollte man schauen, was man für Funktionen braucht und ob diese von der XG abgedeckt werden. Wenn es so ist, dann kann ich die XG dennoch empfehlen.
Watchguard hatte ich auch schon in der Hand. Im Vergleich zur Sophos UTM, kein Gegner, die UTM ist in Sachen Logging und Menüaufbau, sowie Konfigurationsstruktur um längen besser und verständlicher. Im Vergleich zur XG sieht es dann wieder anders aus, auf einer ebene würde ich sagen.
Fortigate hatte ich auch schon in der Hand. War eigentlich soweit gut. War auch recht ausgereift, aber für die Updates braucht man gefühlt ein Studium, zumindest war es so. Keine Ahnung, ob es immer noch so ist.
Cisco ASA...Naja kein Kommentar. Trotz CCNA-Kurs war ich nur noch überfordert als ich das Ding zum ersten mal in der Hand hatte. Konfiguration war grottig, teilweise waren Funktionen so richtig Cisco-like in die CLI ausgelagert. Webinterface aka Cisco ASDM sah aus wie wie Win XP und war so dermaßen überfrachtet mit Checkboxen, Auswahlmenüs, Untermenüs und lass mich auch noch mit.
Intra2Net Security Gateway hatte ich mal kurz in der Hand und wurde dann gegen eine Sophos rausgeschmissen. Funktionsumfanggleich null, Menüführung schlecht und derjenige, der das eingebaut hat, hat 2 Tage gebraucht um eine Site-2-Site-VPN herzustellen(ok, vielleicht war auch derjenige zu unfähig)

 

[t-6]

leider ist das Webinterface dagegen recht langsam, stellenweise unübersichtlich und manche Konfigurationen sind nicht durchdacht.

Man kann gar nicht genug betonen wie sehr das stimmt. Das SG/UTM-Interface ist schnell, wohingegen du bei XG nach jedem Klick erst mal warten darfst.
Und das FW-Log von XG ist alles andere als Echtzeit. Wo ich bei SG mit dem simplen Echtzeitlogger äußerst schnell Verbindungsprobleme diagnostizieren/eingrenzen konnte (vorausgesetzt die FW-Regeln haben das Log-Häkchen), muss ich bei XG im Hinterkopf behalten dass man am besten 2 Minuten wartet bevor man das Log refresht, weil die gesuchte Verbindung u. U. vom Webfrontend noch nicht aus den Logs abgeholt wurde.

Vor allem das Umdenken der NAT-Regeln von v17 auf v18 war ein Krampf.

Inwiefern? Der neue Modus ist eher an dem angelehnt, wie es in SG war. Natürlich ist es ordentlich verwirrend die migrierten Regeln zu verstehen, bevor man Gefahr läuft aus Versehen die ganze Firma mangels Maskierung offline zu schicken ^^

Stichwort Lets Encrypt Integration,

Yeah. Was zur Hölle -.-

planbare Updates übers Webinterface (und nein Sophos Central finde ich kein Ersatz dafür)...

Das ist noch viel schlimmer für Systemhäuser. Für UTM/SG gibts die SUM. Alles gut. Für die XG gabs mal ein Äquivalent --> wird eingestampft.
Dann war es irgendwie aber dann doch nicht so richtig der komische Cloud Firewall Manager dessen Webseite gefühlt auf einem Arduino hinter einem 56k-Modem gehostet war und vielleicht oder vielleicht auch nicht richtig gerendert wird --> unbenutzbar.
Jetzt ist es in irgendwie im Central des Kunden aber evtl. hat/braucht der Kunde kein Central, dennoch musst du dafür ein Konto erstellen oder wie oder was oder so, und dann musst du das als MSP in deinem MSP Central irgendwie einbinden mit vielleicht oder vielleicht auch nicht einer Firewall-Genehmigung und dann musst du erst mal eine Gruppe erstellen bevor die Kunden-FWs da auftauchen. Erschieß mich. Wir habens bis heute nicht verstanden.

 

[Blubmann1337]

Und das FW-Log von XG ist alles andere als Echtzeit.

Jetzt wo du es sagst. Ja da bin ich auch schon des Öfteren drüber gestolpert. Deshalb war ich am Anfang auch verwirrte, wieso keine Drops angezeigt wurden, die kamen einfach nur verzögert rein.

Der neue Modus ist eher an dem angelehnt, wie es in SG war.

Stimmt, eher ja, aber dennoch nicht das gleiche. Vielleicht liegt es aber auch einfach an der Unübersichtlichkeit . Aber ja mal alle abschießen habe ich ganz am Anfang auch geschafft. Mittlerweile geht es besser von der Hand.

gefühlt auf einem Arduino hinter einem 56k-Modem

Wenn es ein Arduino war, wir haben uns immer drüber lustig gemacht, dass da vermutlich ein Toaster am anderen Ende hängt

Jetzt ist es in irgendwie im Central des Kunden aber evtl. hat/braucht der Kunde kein Central, dennoch musst du dafür ein Konto erstellen oder wie oder was oder so, und dann musst du das als MSP in deinem MSP Central irgendwie einbinden mit vielleicht oder vielleicht auch nicht einer Firewall-Genehmigung und dann musst du erst mal eine Gruppe erstellen bevor die Kunden-FWs da auftauchen. Erschieß mich. Wir habens bis heute nicht verstanden.

Verstanden haben wir es auch nicht komplett, aber seitens Sophos hieß es. Im Grunde wird die Firewall auf das Systemhaus registriert, außer wen man quasi ein Leasingmodell macht. Aber erfahrungsgemäß ist es für die Lizenzverwaltung einfacher, wenn alle in einem Konto eingebucht sind. Anschließend hieß man solle über das Partner Portal einen Sophos Central Account für den Kunden anlegen. Der Sophos Central Account wird dann direkt mit dir als Systemhaus im Hintergrund verknüpft. Wenn der Kunde den Central Account selbst angelegt hat muss eine Verknüpfung über den Sophos Support durchgeführt werden. Anschließend wird der Central Account in den Security Heartbeat eingetragen. Im Central Account des Kunden wird dann die Verwaltung für den Partner aktiviert. Also so in die Richtung und irgendwie dann mal nach 1h suche klappt es . Hoffe es wird alle noch etwas strukturierter, weil ich bin schon so ein kleiner Sophos Fanboy und möchte eigentlich nix mehr anderes, nachdem ich die UTM in der Hand hatte. Aber die Hoffnung besteht. Immerhin ist der Großteil der Entwickler in die XG-Entwicklung eingespannt und die hat ja auch paar echte nette Neuerungen und Ansätze.

 

[Crazyhorse]

In der Firma ist Cisco ASA im Einsatz, eine Fortigate ist noch dabei wird aber in kürze abgelöst.
Privat bin ich mit der pfSense auf Netgate Appliances unterwegs, ist halt mega flexibel.

Das wirklich geile an der ASA ist, das du wirklich alles bis in letzte Detail einstellen kannst. Diese Fülle an Möglichkeiten birgt natürlich auch das einen oder andere Risiko. Aber hier kann man echt gut mit mit der CLI arbeiten, mal eben ein Interface anlegen, Helper dazu, in eine Regelgruppe aufnehmen, mit ein paar Zeilen erledigt.


Sophos UTM habe ich mir mal privat angeschaut, ist ganz nett, vor allem der Webschutz für die Clients ist anschalten, Zertifikat Import in Minuten aktiviert.
Gehts um komplexere Sachen, klickt man sich hier auch einen wie doof zusammen, was man bei Cisco an 2-3 Stellen findet.

Die eine Lösung gibt es nicht, es gibt dafür zu unterschiedliche Anforderungen und gerade privat ist die Lizensierung ein entscheidender Faktor. Ich möchte da einmal was kaufen und dann so lange verwenden, bis es veraltet ist oder von der Leistung nicht mehr mitkommt.

 

[DerGast]

Mal eben zu Sophos... der Support ist mittlerweile unterirdisch schlecht.
Die XG ist grotten langsam, alleine die Gedenksekunden im WebGui sind absolut nervig.
Features fehlen auch.
Mit der XG hatte ich es versucht - aber nach einer Woche testen und Co, gemeinsam mit dem Dienstleister, wieder auf die SG gewechselt. Ich weiß nicht wie sich diese Sch... seit Jahren auf dem Markt halten kann. Aber gut, die springen ja nun auch viel lieber auf den Cloud-Zug auf.
Ich überlege den Support für die SG nicht zu verlängern und sie dann lediglich für's WLAN zu nutzen. Das ist zwar auch nicht mehr State-of-the-Art, aber immerhin läuft's.

 

[h00bi]

Mhhh da bisher CheckPoint noch nicht genannt wurde, werfe ich die mal in den Raum.
Meiner Meinung nach eine der am besten zu administrierenden Lösungen.
Wobei das ja auch alles persönliches Empfinden ist - ich für meinen Teil finde auch die FortiGates was die Oberfläche angeht ziemlich unterirdisch, andere kommen damit wohl ganz gut zurecht.

Ich kam von Checkpoint über Watchguard zu Fortinet/Fortigate und bin aktuell sehr zufrieden.
Ich muss aber auch sagen dass ich selbst daran nichts mache, wir betreiben die Fortigate im Rahmen des "Business Network Protect" Produkts der Telekom als Managed Service.
Ich gebe dem Team lediglich die (teilweise sehr banal formulierten) Infos was ich haben möchte, umgesetzt wird es dort von einem Team mit teilweise extrem kompetenten Mitarbeitern.

Mit den Lösungen davor war ich nie so ganz glücklich, insbesonders die alte Mailgateway von Checkpoint war ein absoluter Reinfall.
Die Watchguard hatte ich nur knapp 1 Jahr (auch im Rahmen des BNP) dann wurde zur Fortigate migriert.

Was ich an der Fortigate gut finde:
Zu W7 Zeiten war die im Forticlient integrierte Antivirus Lösung eine sehr willkommene Option, die uns viel Geld gespart hat, da mitlizenziert.
Mittlerweile (W10) ein extrem schlanker SSL-VPN Client, wenn man keine Endpoint Security braucht.
Alternativ einen "dicken" VPN Client mit allem was das Herz begehrt.
IPSEC VPN nativ kompatibel mit vielen Betriebssystemen
Policy based Routing funktioniert genau so wie es soll
WAN Failover funktioniert gut (nicht sehr gut, aber konstant gut).
Übersichtliche Logs, die man auch als nicht-FW-Spezialist versteht

 

[Patank]

Ich werfe mal noch Securepoint in den Raum.
Sehr guter Support, eine gute übersichtliche GUI, deutsche Firma.
War immer sehr zufrieden. Für Monitoring wird ein extra Server benötigt.

 

[dj-hotline]

Als Managed Produkt ist Networkbox eine Empfehlung. Kann ich nur Positives berichten. Eine Firewall kann nur so gut sein wie der der Sie bedient und das Konzept dahinter tragfähig ist. Wir betreiben eine OPNsense. Schnell und macht was Sie soll.

2 - Standorte, Außendienstmitarbeiter Deutschlandweit verteilt. XX - HomeOffice

Hardware ist vom krenn

LG

 

[Fard Dwalling]

Was habt ihr für ne Telefonanlage @dj-hotline und klappt das mit VoIP ohne Probleme mit der OPNsense? Nutzt ihr IPSec zwischen den Standorten?