Sophos XG135 oder FortiGate 80F

[owl2010]

Hallo,
für meinen kleinen Betrieb (ca. 15 PC-Arbeitsplätze + 1 Server) möchte ich mir eine Firewall anschaffen. Ich habe auch zwei Angebote in die engere Auswahl gezogen von unterschiedlichen Anbietern.
Einmal eine Sophos XG135 mit dem Antiviren-Schutz Intercept X für die Clients und auf der andere Seite eine FortiGate 80F mit dem Antiviren-Schutz FortiClient Zero Trust Gabric Agent.
Hat wer zufällig Erfahrungen mit diesen Lösungen oder kann mir eine Empfehlung geben?
Sicherheit, Benutzerfreundlichkeit, Performance etc.

Danke!

 

[Rubbiator]

Ich kann zu der Fortigate nur aus einem Kundenprojekt sagen, dass sie für mich zu den angenehmer zu konfigurierenden Firewalls gehört.

Mit Sophos noch damals UTM danach XG habe ich deutlich mehr Erfahrung sammeln können, da dies der quasi Standard bei unseren Kunden ist.
Habe sie an manchen Stellen verflucht, aber seitdem ich nun täglich mit einer Watchguard arbeiten muss, weiß ich den Komfort meiner alten Sophos sehr zu schätzen und vermisse ihn sehr!

Werd bei mir im Betrieb nun auch auf Sophos umrüsten.

 

[owl2010]

Danke für deine Einschätzung.
Und warum steigst du bei dir nicht auf eine Fortigate um?
Nutzt du auch den Antivirenschutz? Oder nimmst du hier eine Lösung unabhängig von der eingesetzten Firewall und Hersteller?

 

[Rubbiator]

Schlicht und ergreifend, weil ich die Sophos von allen bisher am besten kenne.
Was der Bauer nicht kennt, frisst er nicht
Wäre es keine Sophos käme die Fotogate definitiv in die engere Auswahl, fand aber die Logik Beispielsweise bei den Firewall Regeln in der Sophos noch ein wenig übersichtlicher.
Da hast du immer:
Von -> was -> nach
Auch gefiel mir die WebApplication Firewall dort besser, das hat mich damals in meinem Fortigate Projekt (Exchange Online Migration) einen halben Tag gekostet, um das Problem zu verstehen.

Ja ich werde in dem Zuge auch von Avast auf intercept X wechseln. Spielt halt sehr cool zusammen alles.
Access Points werden dann auch von Sophos kommen.
Dann habe ich alles aus einer Hand.

 

[owl2010]

Ja, ich denke, so werde ich es auch machen!
Und das gute bei Sophos ist ja die Lizenzierung nach Benutzer und nicht nach Clients.
Was halt schon etwas teuer ist, ist dass man bei dem Server ein extra Server-Produkt beim Intercept X nehmen muss...

 

[Rubbiator]

Genau und generell das ganze Benutzergesteuerte Konzept ist bei der XG schon cool, also Regeln für User erstellen können und co.
Das ist leider richtig, verglichen mit dem Schaden eines Cryptotrojaners und den daraus resultierenden DSGVO Zahlungen und co., Immer noch die bessere Alternative.

 

[owl2010]

Hast du zusätzlich auch noch eine Cyberversicherung abeschlossen?

 

[Rubbiator]

Ich hätte gerne eine, jedoch war die Geschäftsführung dagegen, zu teuer...

 

[owl2010]

Ich denke, ich werde mir auch da mal Angebote reinholen....die Bedrohungen werden ja nicht weniger, sondern tendenziell immer mehr...

 

[Rubbiator]

Als ich noch im Systemhaus tätig war, habe ich viel viel Mist gesehen, den will ich nicht in meiner Bude haben...

 

[owl2010]

Was ich noch fragen wollte, woher beziehst du deine Sophos Produkte? Kannst du mir da was empfehlen? Gerne einfach eine PM schicken...

 

[DerGast]

Ich kenne die "Sophos" UTM noch aus Astaro Zeiten, als die Jungs noch erreichbar waren und der Support um nahezu 100% besser war als heute. Egal mit welchem Dienstleister ich quatsche, der Support wird immer schlechter.
Selbst zu meiner DL Zeit habe ich mich eigentlich ständig über Support aufgeregt.

Die XG ist in meinen Augen ein unfertiges Produkt und führt zu Unzufriedenheit (wenn man eben noch die Qualität von früher kennt!) was nicht nur durch mich sondern auch durch andere DL bestätigt wird, was dann dazu führt, dass einige von der XG zur UTM wechselten - mich eingeschlossen.
Wer mit den out-of-the-box Features klar kommt, kann sie natürlich einsetzen. Bei mir war es der SMTP Schutz, Ausdrucksfilter, Verschlüsselung an Features die fehlten oder nicht richtig funktionierten.

EOL für die UTM wird kommen (man munkelt ja schon...) - und ich weiß jetzt schon, obwohl ich die APs hundertfach und gerne verbaut habe, und eben auch das Management passt, dass ich mich wohl früher oder später von Sophos abwende. Das ist keine Basis wenn schon die Top5 der Sophos Partner die Hände über dem Kopf zusammenschlagen....
Ubiquiti oder andere sind da mind. genau so gut aufgestellt und können auch Roaming, VLAN und so weiter - und sind unterm Strich günstiger.

Der Endpoint Schutz, die Konfiguration, Performance und der Support ist in meinen Augen auch die reinste Katastrophe. O-Ton Support: "Was wir nicht haben, brauchen wir nicht".
Und auch hier habe ich einige Vergleiche. Selbst im direkten Vergleich zur McAfee Konsole kann ich mich nur fragen, wo Sophos den Zug verpasst hat.

Meine Empfehlung also:
Sophos als Firewall, aber keinen Sophos Endpoint.
Dann lieber ESET als Endpoint, der einfach zu installieren, sauber zu konfigurieren ist und sich auch wieder (auch über die Konsole!) sauber entfernen lässt. Von so netten Dingen wie Blacklist, Medienkontrolle und Co ganz zu schweigen.

 

[owl2010]

Moin!
Danke für deine Einschätzung.
Also derzeit haben wir als Endpoint Schutz Bitdefender Gravitiyzone Business Security - kann das empfohlen werden auch für die Zukunft und ist dieser Schutz "besser" als der Endpoint-Schutz von Sophos?
Wäre es nicht besser Firewall + Antiviren-Schutz aus einem Hause zu beziehen?

 

[DerGast]

Moin!
Danke für deine Einschätzung.
Also derzeit haben wir als Endpoint Schutz Bitdefender Gravitiyzone Business Security - kann das empfohlen werden auch für die Zukunft und ist dieser Schutz "besser" als der Endpoint-Schutz von Sophos?
Wäre es nicht besser Firewall + Antiviren-Schutz aus einem Hause zu beziehen?

Bitdefender kenne ich gar nicht. Würde jetzt auch nicht auf die Idee kommen diesen einzusetzen - weiß nicht warum. Hast Du mal die Features und Preise verglichen?
Eset bietet da zB Ablösekonditionen an (Crossupdate). Kenne ich jetzt seit...ungefähr 16 Jahren und hat mich bisher nicht im Stich gelassen.
"Besser" ist jetzt auch so ne Sache. 100% Schutz gibt es nie. Weder bei McA, Kaspersky, Sophos, Bitdefender oder ESET. Aber die Erkennungsrate, speziell in Installern, fand ich bei Eset zB auffällig gut.
InterceptX finde ich jetzt auch nicht günstig, von dem völlig unseriösen Vergleichen bei Sophos (zu anderen einfachen Virenscannern) abgesehen.
Die Eset Webseiten Kategoriesierung war auf Rechner super hilfreich, die extern (zB im Hotel) nicht über einen Proxy surften.

Und zu diesem "alles aus einem Haus": Warum sollte dies besser sein?Das Problem ist ja bekanntlich immer das schwächste Glied.
Ich habe lieber zwei unabhängige Lösungen die auch ihren Preis wert sind, statt "eine" Lösung über die ich mich ärgere. Aus welcher Ecke kommst Du denn (wegen OWL?)?

Edit: warum eigentlich die XG135 und nicht die XG125? Für 15 User dürfte die gut reichen. Oder habt ihr da besondere Ansprüche?

 

[owl2010]

Also, ich hatte ja geschrieben, dass ich mir eine Firewall zulegen will, damit man hier unvoreingenommen an das Thema geht. Ich habe bereits eine Sophos SG135 bei der jetzt die Lizenzen auslaufen. Vom Preis her wäre es sogar günstiger auf die XG135 inkl. 3-Jahres-Lizenzen umzusteigen, weil Sophos hier gerade eine Aktion hat.
Nichts desto trotz schadet es ja nie über den Tellerrand zu schauen. Daher war die Frage halt, welche Firewall empfohlen werden kann. Das gilt auch für den Virenschutz. Derzeit im Einsatz BitDefender und auch hier laufen die Lizenzen aus.
Komme aus der Ecke Bielefeld.

 

[DerGast]

Stimmt, die haben ne Promo. Bis Ende März, meine ich. Auch bei den APs.
Ich war gestern noch beim Kunden in Bielefeld(komme selbst aus DT) - wenn Du Bock hast, zeige ich Dir mal die verwaltete Eset Variante.

Ich sage mal, wenn Du mit den Funktionen der XG zufrieden bist und auch das WLAN kennst, dann nutze sie.
Die Verwaltbarkeit, das Drag&Drop Prinzip, oder einfach an jeder Stelle ein Objekt erstellen zu können finde ich absolut super. Oder auch das simpel einzurichtende SSL VPN.

Bei der Fortigate hat mit das Paket Capturing sehr gut gefallen (sozusagen als etwas aufgeräumteres Pendant zum live-log der Sophos).
PFSense hatte ich auch schon - reden wir nicht drüber
Palo Alto ist wieder ne ganz andere Sache..

 

[owl2010]

Also aufgrund der Promo und da ich schon die Sophos SG jetzt seit 3 Jahren kenne, würde ich glaube ich dann auch bei Sophos bleiben und zur XG Variante umsatteln - welche Vorteile gegenüber der SG bietet die XG? Ist sie von der Bedienbarkeit und Benutzerfreundlichkeit vergleichbar mit der SG?

Wo ich halt jetzt noch am Schwanken bin ist der Virenschutz. Einfach wäre es natürlich bei BitDefender zu bleiben und in den Test schneidet der ja nicht schlecht ab oder?

 

[DerGast]

Ehrlich gesagt musste ich mich ganz schön umstellen als ich die erste XG installiert habe. Geht aber dann auch gut. Die wirklich gute und sauber dokumentierte Hilfe bei der SG, habe ich allerdings bei der XG extrem vermisst.
Technisch betrachtet wird ja synchronized security ganz groß beworben. Dann die Sache mit den Zonen, Heartbeat, Integration des MTR...
Setze doch mal eine XG als VM auf Virtualbox auf..

Bitdefender kenne ich wirklich nicht. Wenn Du zufrieden bist und der Preis stimmt, dann ist es doch okay.
Vielleicht mal testweise ESET Online Scanner drüberbügeln oder so. Schadet ja nie..

 

[owl2010]

Alles klar-danke für dein Feedback!
Kann ich eigentlich die Einstellungen von der SG auf die XG exportieren oder muss ich alles neu anlegen?

 

[Rubbiator]

Wie ich es aus unserem Sophos Team mitbekommen habe, ist es tatsächlich der einmalige Schmerz bis auf elementare Sachen nochmal neu zu konfigurieren, war ein Großteil der DL der Jungs

Aber das war der Stand vor ca einem Dreiviertel Jahr