Sophos XG135 oder FortiGate 80F
- Ersteller owl2010
- Erstellt am
Wäre auch mein Tipp: neu machen. Und am besten wirklich vorher mit einer VM testen um ein Feeling zu bekommen.
Wenn ich überlege dass selbst die Initial Einrichtung unseres /16 Netzes nicht als "erlaubt" angesehen wurde, muss ich wieder lachen
Wenn ich überlege dass selbst die Initial Einrichtung unseres /16 Netzes nicht als "erlaubt" angesehen wurde, muss ich wieder lachen
Alles klar, danke für den Tip!
Ach ja, noch eine Frage:
Theoretisch könnte ich ja auch die SG135 behalten und nur die Lizenzen wieder für 3 Jahre verlängern.
Macht aber wenig Sinn, wenn man für das gleiche Geld die XG135 bekommt + 3 Jahre Lizenzen oder?
Ergänzung ()
Ach ja, noch eine Frage:
Theoretisch könnte ich ja auch die SG135 behalten und nur die Lizenzen wieder für 3 Jahre verlängern.
Macht aber wenig Sinn, wenn man für das gleiche Geld die XG135 bekommt + 3 Jahre Lizenzen oder?
Zuletzt bearbeitet:
Blubmann1337
Ensign
- Registriert
- Dez. 2009
- Beiträge
- 241
Puh ja schwieriges Thema. Also wir hatten bei uns schon GateProtect und Fortigate im Einsatz und haben dann schon noch zu Astaro-Zeiten umgesattelt. Was die Supportqualität angeht, ist schon richtig, war es früher besser. Bei der UTM merkt man halt, da steckt mehr als nur 3 Jahre Entwicklung drin. Merket man auch dann, wenn man sich z.B. ne Watchguard anschaut....Pfui Teufel, da war man mit der UTM verwöhnt. Naja dann kam der Umstieg auf die XG und ich muss sagen es ist etwas steinig. Es gibt ein Migrationstool, aber da ist meiner Meinung nach nur solala. Man merkt auch deutlich, dass die XG lange nicht den Entwicklungsstand von der UTM hat. Was man aber merkt ist, dass die Entwicklung voll darauf konzentriert ist. So wird bei der UTM kein IKEv2 oder TLS1.3 mehr kommen. Dennoch man muss abwägen, was man aktuell mit der UTM benutzt und ob das in der XG so einfach geht... Beispiel: LetsEncrypt. An den ein oder anderen Stellen muss man etwas umdenken, wenn man von einer UTM kommt. Gerade die Tatsache, dass quasi alles in einer Regel festgelegt wird muss man erstmal verkraften und auch beim Natting muss man sich erstmal umgewöhnen (da du direkt die v18 haben wirst musst nicht nochmal umdenken bei der Migration von v17 auf v18). Was man auch faktisch sehen muss ist, dass die XG sehr stark in die Cloud integriert ist (hier könnte Sophos auch noch bisschen nachbessern, das ganze Konstrukt aus Sophos ID, Sophos Central und Web-Apps ist etwas undurchsichtig und die Webapps sind auch nicht die schnellsten). So sind z.B. geplante Firewall Updates nur über die Central-Integration planbar und die Firewall braucht mindestens Firmware v18 MR4, also alle vorherigen Versionen konnte man nicht planbar Upgraden wie man das von der UTM gewohnt ist. Dennoch ich halte die XG nicht für schlecht (die v16 war z.B. ein Produkt im Pre-Alphastadium, dass man auf Kunden losgelassen hat), aber sie ist noch im Reifen. Die Integration mit den Endpoints und Heartbeat ist auch schon geil, wobei ich es noch nicht selbst getestet habe oder es nur Marketinggeplänkel ist, aber die Frage ist aus Sicherheitsaspekten...Wie sinnvoll ist es alles aus einer Hand zu haben. Gerade in Bezug auf die Sophos und Avira-Engine bin ich nicht so ganz überzeugt. Ich würde dennoch zu einer Sophos greifen, da ich mit dieser mehr Erfahrung habe und glaube, dass die XG auch auf das UTM-Niveau kommen kann (und hoffentlich auch wird). Ob es der Endpoint sein muss lass ich mal im Raum stehen, da habe ich zu wenige praktische Erfahrung.
t-6
Admiral
- Registriert
- Juni 2007
- Beiträge
- 8.957
Nein, imho nicht proaktiv. Bei unseren größeren Kunden haben wir uns auferlegt, die erst zu XG zu migrieren wenn es nicht mehr anders geht. XG ist imho vergleichsweise ein ziemlicher Krampf, vor allem in der Bedienung.
Klick, warten. Klick, warten. Klick, warten. Und wenn du dich verklickt hast; erst mal warten.
Die Bedienung von SG/UTM hingegen fühlt sich an wie Ballett.
Nein, ich will keine automatischen Firewall-Gruppen bei denen ich wieder warten muss um sie aufzuklappen und warten muss um sie zu löschen.
Nein, ich denke nicht dass das default Gast-WLAN zur Zone WLAN gehören sollte.
Ja, ich hätte gerne ein Live-Log das auch wirklich live ist, und nicht ein Semi-Live-Log das gefühlt nur jede Minute einen Refresh macht.
Nein, ich denke nicht dass die Default-Firewallregeln Emailversand blockieren sollte wenn die eine Default-Regel Any--Any-->WAN ist; was auch immer es mit der default SMTP-Regel auf sich hat.
Ja, ich hätte vielleicht ganz gerne eine default-Firewallregel wenn ich im Initial-Setup auswähle dass mehrere Ports zum selben Interface gehören, so dass ich keine LAN-ANY-LAN-Regel mehr extra einrichten muss.
Boah hör mir auf; was meinst du wie krampfig das in einem Systemhaus mit mehreren Kunden ist ^^
Das SUM-Äquivalent für XG hat Sophos eingestampft. Tolle Wurst.
CFM: Reden wir nicht drüber. Was auch immer das gewesen sein soll.
Central Firewall-Manager: Mal schauen. Wenn wir endlich mal unseren Kopf drumgewickelt bekommen, was denn jetzt verdammt noch mal die Best Practice ist eine XG zu registrieren. Verwaltungsgenehmigung hier, Sophos ID da, Central-Konto dort...
Nee, also zu XG migrieren machen wir erst wenn SG EOS geht. Da muss noch eine v19 kommen, inkl. Let's Encrypt. Warum das immer noch nicht drin ist während den Gerüchten nach bei SG das ein Entwickler nebenbei gemacht hat, weiß auch keiner so richtig.
Zuletzt bearbeitet:
Joe Dalton
Lt. Commander
- Registriert
- Dez. 2010
- Beiträge
- 1.171
owl2010 schrieb:
Wenn Du keine zwingende Anforderung für die XG hast, dann bleibe bei der SG. Den Weg Richtung XG wird Dir Sophos im Zweifelsfall schon ermöglichen.
Ich für meinen Teil bin von der Sophos UTM zur FortiGate gegangen. Allerdings spielten bei mir auch die Clients keine größere Rolle. Fortinet bietet im eigenen Ökosystem alles, was das Herz begehren könnte (in der Cloud oder on premises; zentrales Management oder direkt auf den Geräten; CLI oder GUI; FW/Switches/APs;...).
Nachdem der ehemalige Astarostandort in Karlsruhe anscheinend komplett tot ist und die XG seit Jahren versucht die UTM zu beerben: Ich wüsste nicht, was z.Z. für die XG sprechen sollte.
Hm...jetzt bin ich mir ehrlich gesagt gar nicht mehr sicher.
Also Virenschutz belasse ich bei BitDefender-das steht fest.
Jetzt geht es um die Firewall..eine FortiGate wurde mir ja auch angeboten und empfohlen. Ich habe mir die Oberfläche mal angeschaut und fühlte mich sofort erschlagen, weil auf den ersten Blick sehr unübersichtlich im Vergleich zu der jetzigen Oberfläche der SG135. Wie sieht es denn von der Benutzerfreundlichkeit und Sicherheit aus? Ist da die FortiGate besser?
Also Virenschutz belasse ich bei BitDefender-das steht fest.
Jetzt geht es um die Firewall..eine FortiGate wurde mir ja auch angeboten und empfohlen. Ich habe mir die Oberfläche mal angeschaut und fühlte mich sofort erschlagen, weil auf den ersten Blick sehr unübersichtlich im Vergleich zu der jetzigen Oberfläche der SG135. Wie sieht es denn von der Benutzerfreundlichkeit und Sicherheit aus? Ist da die FortiGate besser?
Joe Dalton
Lt. Commander
- Registriert
- Dez. 2010
- Beiträge
- 1.171
Moin,
Die Oberfläche ist - wie bei jeder Firewall - sicherlich gewöhnungsbedürftig. Aber wenn man hinter das System gestiegen ist, dann findet sich das meiste recht einfach.
Wichtig: In der GUI wird nicht immer alles angezeigt. "Feature Visibility" ist das Zauberwort.
Benutzerfreundlichkeit: jepp, würde ich unterschreiben. Alleine schon das Logging ist deutlich besser.
Sicherheit: Es gibt gute Gründe, warum es eine FortiWeb und FortiMail gibt. Da bringt die UTM mehr mit. Ansonsten kann ich gegen die FortiGate wenig sagen. Die Sichtbarkeit im Netzwerk ist gut, das Regelwerk lässt sich gut händeln.
Ich habe bei der FortiGate bisher wenig vermisst. Wobei Fortinet gerne neben der "nackten" FortiGate auch den FortiAnalyzer zum Einsatz bringt (erweitertes Logging und Analyzing), dass es so bei der UTM nicht gibt. Ohne den Analyzer solltest Du in jedem Fall eine 81F kaufen. Die "1" kennzeichnet Modelle mit lokalem Speicher für Logging. Die "0"er Modelle haben lediglich einen Speicher für die Firmware und halten die Logs etc. im RAM.
Die FortiGate gibt es auch als VM: gleiche Oberfläche und Features wie die "richtigen" FortiGates.
Grüße,
Christian
owl2010 schrieb:
Die Oberfläche ist - wie bei jeder Firewall - sicherlich gewöhnungsbedürftig. Aber wenn man hinter das System gestiegen ist, dann findet sich das meiste recht einfach.
Wichtig: In der GUI wird nicht immer alles angezeigt. "Feature Visibility" ist das Zauberwort.
owl2010 schrieb:
Benutzerfreundlichkeit: jepp, würde ich unterschreiben. Alleine schon das Logging ist deutlich besser.
Sicherheit: Es gibt gute Gründe, warum es eine FortiWeb und FortiMail gibt. Da bringt die UTM mehr mit. Ansonsten kann ich gegen die FortiGate wenig sagen. Die Sichtbarkeit im Netzwerk ist gut, das Regelwerk lässt sich gut händeln.
Ich habe bei der FortiGate bisher wenig vermisst. Wobei Fortinet gerne neben der "nackten" FortiGate auch den FortiAnalyzer zum Einsatz bringt (erweitertes Logging und Analyzing), dass es so bei der UTM nicht gibt. Ohne den Analyzer solltest Du in jedem Fall eine 81F kaufen. Die "1" kennzeichnet Modelle mit lokalem Speicher für Logging. Die "0"er Modelle haben lediglich einen Speicher für die Firmware und halten die Logs etc. im RAM.
Die FortiGate gibt es auch als VM: gleiche Oberfläche und Features wie die "richtigen" FortiGates.
Grüße,
Christian
Oh man....bin jetzt echt unsicher...
Aber wenn ich bisher mit der SG gut zurecht gekommen bin, und die XG + Lizenzen günstiger als eine Lizenzerneuerung für die jetzige SG135 bekomme, mache ich aber auch keinen großen Fehler oder?
Aber wenn ich bisher mit der SG gut zurecht gekommen bin, und die XG + Lizenzen günstiger als eine Lizenzerneuerung für die jetzige SG135 bekomme, mache ich aber auch keinen großen Fehler oder?
Die Hardware einer SG135/XG135 ist gleich. "Schneller" in der Handhabung ist m.E. die SG.
Wenn Du jetzt eine SG für 3 Jahre kaufst, hast Du sie 3 Jahre. Ist doch nett. Dann kommt man auch in den Zeitraum nochmal überlegen zu können, ob sich die XG lohnt.
Und wenn alle Stricke reißen und die XG DAS Feature schlechthin hat, dann kannste immernoch wechseln (Es ist ja nur eine Software die man installiert). Ist dann mit etwas Aufwand und Lizenzumschreiben verbunden, aber geht.
Ein paar Paketfilterregeln? WAF? Webproxy? SMTP? IPSec oder SSL VPN?
Wie eingangs erwähnt, bin ich nun von der XG zurück auf die SG - und bereue den Schritt absolut nicht - weniger wegen des Handlings, sondern weil für uns wichtige Funktionen in der XG fehlten.
Wenn es mit Sophos so weiter geht wie bisher, bin ich auch nicht gewillt in drei Jahre eine XG zu kaufen. Ich bin ja zum Glück nicht mit denen verheiratet.
Ich überlege ja jetzt schon die WLAN Infrastruktur mit 25APs woanders zu beziehen...
Wenn Du jetzt eine SG für 3 Jahre kaufst, hast Du sie 3 Jahre. Ist doch nett. Dann kommt man auch in den Zeitraum nochmal überlegen zu können, ob sich die XG lohnt.
Und wenn alle Stricke reißen und die XG DAS Feature schlechthin hat, dann kannste immernoch wechseln (Es ist ja nur eine Software die man installiert). Ist dann mit etwas Aufwand und Lizenzumschreiben verbunden, aber geht.
Ergänzung ()
Welche Anforderungen hast Du denn an diese Firewall überhaupt?owl2010 schrieb:
Ein paar Paketfilterregeln? WAF? Webproxy? SMTP? IPSec oder SSL VPN?
Wie eingangs erwähnt, bin ich nun von der XG zurück auf die SG - und bereue den Schritt absolut nicht - weniger wegen des Handlings, sondern weil für uns wichtige Funktionen in der XG fehlten.
Wenn es mit Sophos so weiter geht wie bisher, bin ich auch nicht gewillt in drei Jahre eine XG zu kaufen. Ich bin ja zum Glück nicht mit denen verheiratet.
Ich überlege ja jetzt schon die WLAN Infrastruktur mit 25APs woanders zu beziehen...
Zuletzt bearbeitet:
Joe Dalton
Lt. Commander
- Registriert
- Dez. 2010
- Beiträge
- 1.171
und? Welche Revision hast Du denn im Einsatz? Wenn Du zusammen mit der Lizenz auch den Service verlängerst, dann ist es egal.owl2010 schrieb:
Abgesehen davon wäre die Frage der freien Ressourcen und Ports: wird‘s irgendwo knapp?
Eine SG330 beim Kunden ist innerhalb der ersten drei Jahre ausgefallen. Unverwüstlich, nein, aber dafür hat man einen Cluster.owl2010 schrieb:
Die Kisten sind auch nur „billige“ x86-Server.
Joe Dalton
Lt. Commander
- Registriert
- Dez. 2010
- Beiträge
- 1.171
in der Jahresansicht sind die Peaks geglättet. Aber grundsätzlich scheint sich die Kiste zu langweilen. Entweder geht wenig Traffic drüber oder das Regelwerk ist dünn. :-)
Joe Dalton
Lt. Commander
- Registriert
- Dez. 2010
- Beiträge
- 1.171
Hast Du ein aufwendiges Regelwerk mit Logging oder ist die Firewall eher ein einfacher Router? Läuft ein Wenproxy bzw. Mailscan?owl2010 schrieb:
Also ich kann nur sagen, dass ich am Anfang auch auf die XG geschimpft habe, gerade die NAT Regeln, die sich hinter den Geschäftsanwendungen versteckt haben... aber seit V18 ja Gott sei Dank Geschichte.
Je mehr ich mich jedoch mit der XG beschäftigt habe desto lieber habe ich sie tatsächlich gewonnen und hatte manchmal auf der SG das Gefühl, dass ich vor einem steinalten System sitze.
Beispielsweise die WAF ist in der XG gefühlt um Welten besser gelöst als in der SG.
Über kurz oder lang wird es keine SG mehr geben. So wie es sich liest, hast du ja auch nicht die größten Anforderungen an eine Firewall. Gerade da finde ich die XG nicht schlechter oder besser als eine SG.
Man wird sich sowieso mit dem System XG beschäftigen müssen, je früher desto besser.
Aus Erfahrung auch bei Admins kann ich sagen, dass nach gewisser Zeit nur noch die auf die XG geschimpft haben, die den Sinn dahinter nicht verstanden haben oder sich an nichts neues gewöhnen wollten. (Möchte ich hier niemandem unterstellen!)
Ist genauso wie die Leute behaupten gewissen Einstellungen gibt es unter Windows 10 nur in der Systemsteuerung, weil man sich nicht mit der "Einstellungen App" auseinander gesetzt hat. Ich nutze mittlerweile nur noch diesen Weg, weil eines Tages gibt es die Systemsteuerung nicht mehr und dann steht man da wie Ochs vor Wald. (Auch da spreche ich aus meiner DL Erfahrung und meine explizit niemanden hier!)
Die Features, die hier als unabkömmlich und vielleicht noch nicht optimal in der XG dargestellt bemängelt werden, wirst du vermutlich gar nicht brauchen so wie es sich bisher anhört. (Let's encrypt usw.)
Von daher wirst du mit der XG nichts falsch machen
Je mehr ich mich jedoch mit der XG beschäftigt habe desto lieber habe ich sie tatsächlich gewonnen und hatte manchmal auf der SG das Gefühl, dass ich vor einem steinalten System sitze.
Beispielsweise die WAF ist in der XG gefühlt um Welten besser gelöst als in der SG.
Über kurz oder lang wird es keine SG mehr geben. So wie es sich liest, hast du ja auch nicht die größten Anforderungen an eine Firewall. Gerade da finde ich die XG nicht schlechter oder besser als eine SG.
Man wird sich sowieso mit dem System XG beschäftigen müssen, je früher desto besser.
Aus Erfahrung auch bei Admins kann ich sagen, dass nach gewisser Zeit nur noch die auf die XG geschimpft haben, die den Sinn dahinter nicht verstanden haben oder sich an nichts neues gewöhnen wollten. (Möchte ich hier niemandem unterstellen!)
Ist genauso wie die Leute behaupten gewissen Einstellungen gibt es unter Windows 10 nur in der Systemsteuerung, weil man sich nicht mit der "Einstellungen App" auseinander gesetzt hat. Ich nutze mittlerweile nur noch diesen Weg, weil eines Tages gibt es die Systemsteuerung nicht mehr und dann steht man da wie Ochs vor Wald. (Auch da spreche ich aus meiner DL Erfahrung und meine explizit niemanden hier!)
Die Features, die hier als unabkömmlich und vielleicht noch nicht optimal in der XG dargestellt bemängelt werden, wirst du vermutlich gar nicht brauchen so wie es sich bisher anhört. (Let's encrypt usw.)
Von daher wirst du mit der XG nichts falsch machen
