Suche Firewall für kleines Unternehmen

[dipii]

Hallo zusammen


Für ein kleines Unternehmen bin ich auf der Suche nach einer passenden Firewall für eine anstehende IT-Umstellung.

Netzwerk des Unternehmens aktuell:

• 1 x QNAP NAS (soll in Zukunft durch einen Windows-Server ersetzt werden)
• 4 x Laptops
• 3 x Netzwerkdrucker
• 1 x Fritz Box 7590 als Router und Telefonanlage
• 4 x DECT Telefone
• 1 x DSL Anschluss mir fester IP4
• 1 x Backup Leitung über KabelTV-Anschluss (zurzeit noch inaktiv)

Anforderungen:

• Alle vorhandenen Laptops und ggfs. private Heimrechner per VPN an das Netzwerk mit NAS / den zukünftigen Server anbinden so dass die Freigaben verfügbar sind. Im Idealfall ist VPN-Clientsoftware für die Endgeräte schon dabei.
• QNAP Nas / Server sollte von extern aus erreichbar sein (z.B. File-Sharing via Download-Link)
• DECT Telefonie über FritzBox als Telefonanlage sollte wenn möglich beibehalten werden können
• T-DSL Leitung als primäre Leitung und KabelTV-Anschluss als Ausfall-Leitung wünschenswert
• Budget: bis 1.000 € netto
• Wenn möglich: einfach zu Warten / Konfigurieren

Sind die Anforderungen mit dem Budget umsetzbar?
Welche Modelle könnt Ihr mir empfehlen?

Vielen Dank im Voraus!

Gruß Dipii

 

[maxik]

Systemhaus damit beschäftigen. Nur weil du dich mit PC's auskennst heißt das noch lange nicht dass du Experte darin bist. Wenn es mal einen Ausfall gibt wird mit dem Finger auf dich gezeigt und du darfst dir den Kopf zerkratzen wo das Problem liegt - derweilen muss deine eigentliche Arbeit pausieren welche dann in der Mittagspause/Abend/Feiertagen nachgeholt werden muss.
Oder stell dir vor Dokumente auf dem NAS sind verschwunden und nicht im Backup drin. Das gibt Donnerwetter in welchem du dich sicher nicht befinden möchtest.

Spoiler: Storytime

Glaubs mir, ich rede aus Erfahrung. Im Betrieb haben wir einen externen Sysadmin. Wenn etwas mal nicht passt (egal was) dann klingelt erst mal bei mir das Telefon als erste und (deutlich) schnellere Ansprechperson (bis der Admin ans Telefon geht bzw den Fehler bearbeitet....). Einfach da ich mich halt doch recht gut auskenne und dementsprechend die Lösungen parat habe, bzw. die Fehleranalyse und die verbundene Absprache mit dem Admin bei welcher nur so mit technischen Begriffen umsich geworfen wird doch zielführender sind als mit einer Person welche gerade mal Office bedienen kann.[/SIZE]

So ganz grob kann man aber folgendes sagen:

Sonicwall als Firewall (auch nur weil wir diese im Betrieb haben). Gibt sicherlich andere auch noch
Falls im Betrieb nicht mit AD/Exchange gearbetiet wird sollte ein performanteres NAS + Backup Lösung reichen

 

[CharlieScene]

Schau dir mal pfSense an; entweder als appliance (z.B netgate) oder auf eigener Hardware. Darüber kannst du z.B OpenVPN nutzen.

 

[chr1zZo]

pfsense netgate oder ne kleine sophos xgs

einfach zu konfigurieren... Jeder Hersteller bietet zwar gewisse Features und Leistungen, aber wenn du z.B. Firewallregeln falsch setzt oder sonst was, machst du das Ding mehr auf, als es muss. Gerade auch DNAT/SNAT/NAT Regeln sollte man beherrschen!

 

[IBISXI]

OPN Sense:

https://opnsense.org/

Gibts auch mit Hardware und Support.

 

[chr1zZo]

Systemhaus damit beschäftigen. Nur weil du dich mit PC's auskennst heißt das noch lange nicht dass du Experte darin bist. Wenn es mal einen Ausfall gibt wird mit dem Finger auf dich gezeigt und du darfst dir den Kopf zerkratzen wo das Problem liegt - derweilen muss deine eigentliche Arbeit pausieren welche dann in der Mittagspause/Abend/Feiertagen nachgeholt werden muss.


So ganz grob kann man aber folgendes sagen:

Sonicwall als Firewall (auch nur weil wir diese im Betrieb haben). Gibt sicherlich andere auch noch
Falls im Betrieb nicht mit AD/Exchange gearbetiet wird sollte ein performanteres NAS + Backup Lösung reichen

Systemhaus und 1000€ Budget ist halt hier der Schneidepunkt xD. Aber gibt ja auch zur Miete sowas.

 

[dipii]

Ok das sind ja schonmal einige gute Antworten, vielen Dank!

Am Budget soll es nicht scheitern, bis 1000,- Euro für das Gerät wäre wünschenwert und meine erste Vorstellung aber wenn dann noch Einrichtungskosten dazukommen weil da Profis ranmüssen ist es halt so. Mir ist wichtiger dass ich Modelle vorgeschlagen bekomme die meine Anforderungen erfüllen, denn ich habe die Befürchtung dass das Systemhaus mir gerne eine Nummer größer verkaufen möchte als nötig ist.

Was sind denn realistische Kosten wenn ich so etwas angehen möchte?

 

[maxik]

@chr1zZo Das ist mir schon klar, aber der Chef muss kapieren dass es hier nicht darum geht zu Hause mal am Sonntag in Mediamarkt fahren und zu Hause eine neue Fritzbox anstöpseln.
Hier wird gearbeitet also sollte das von Anfang an Hand und Fuß haben.

Wenn er sagt ihm ist ein Ausfall egal dann bitte, grünes Licht. Aber meistens sind es dann diese welche als erstes gelaufen kommen und schreien dass XY nicht funktioniert was ja du eingerichtet hast, nur um ein paar Euro zu sparen.
Hab das meinem Chef auch so klipp und klar gesagt, ich kann es als bastelprojekt, aber lieber einen Teuro mehr investieren und ein Produkt bekommen das so wie gewollt funktioniert - falls nicht ist der Admin an den Ohren zu ziehen.
Er hat mir ausnahmslos zugestimmt.

@dipii Hol dir mal ein Paar Angebote ran. Die Bedenken kenn ich aber man kann das nachher hier ja ein wenig analysieren

 

[madmax2010]

Was @IBISXI sagt.

Ich mag fortigate und checkpoint gern, aber die haben in dem Preisbereich nicht viel :/
schau mal hier: https://geizhals.de/2827696968

 

[Raijin]

Systemhaus und 1000€ Budget ist halt hier der Schneidepunkt

Naja, ich drücke es mal so aus: IT kostet Geld, aber die IT bildet das Rückgrat der Infrastruktur. Die beste und professionellste Hardware - zum Schnäppchenpreis oder nicht - hilft nichts, wenn der Admin, der sie konfiguriert, keine Ahnung davon hat. Es geht nicht um hübsche Wizards, sondern auch um das Verständnis was diese tun. Wizards sind nur unterstützende Hilfsmittel, aber kein Ersatz für KnowHow.

Mir ist wichtiger dass ich Modelle vorgeschlagen bekomme die meine Anforderungen erfüllen, denn ich habe die Befürchtung dass das Systemhaus mir gerne eine Nummer größer verkaufen möchte als nötig ist.

Dann ist es aber sinnvoller, den umgekehrten Weg zu gehen. Hol dir ~3 Angebote ein und anschließend kann man hier darüber diskutieren. Es ist wenig zielführend, wenn man jetzt zB ein FortiGate beliebiger Größe (klein - mittel) und Preisklasse vorschlägt, wenn das Systemhaus diese nicht unterstützt und dafür andere Hersteller anbietet, sei es Cisco oder eben auch Appliances mit pfSense, o.ä.. Denn auch bei Systemhäusern ist es natürlich so, dass sie vorwiegend in bestimmten Ökosystemen unterwegs sind. Kein IT-Admin kann alle GUIs und CLIs im Schlaf bedienen, sondern hat Kernkompetenzen bei Hersteller x und y.

 

[dipii]

Das Budget ist nicht in Stein gemeißelt

Okay dann gehe ich das Thema wohl falsch herum an. Ich sammel mal alle Antworten und nebenbei hole ich mir ein paar Angebote ein die ich dann hier mit einfließen lasse.

 

[Ja_Ge]

Ich würde dort eine kleine FortiGate ins Auge fassen. Wie sieht es denn mit der Bereitschaft aus, für Support & Co. einen jährlichen Beitrag zu leisten? Unabhängig der Marke macht so eine Firewall erst wirklich Sinn, wenn Antivirus, IPS, Web- & Applikationssilter etc. immer vom Herstelle aktuell gehalten werden. Und das kostet Geld.

 

[maxik]

Natürlich ist das "gebastle" (für uns nichtgelernte ist das nun mal ein gebastle) sicherlich geil, erst recht wenn es am Ende klappt und der Chef danke sagt.
Der verbundene administrative Aufwand vorher und nachher sind aber nicht zu vernachlässigen

 

[Raijin]

Wichtiger als die Hardware ist am Ende tatsächlich der Support. Ich weiß ja nicht wie es um dein KnowHow bestellt ist bzw. was deine eigentliche Tätigkeit bei dem Unternehmen ist, aber wenn du dich mit sowas nicht auskennst, weil es einfach nicht dein Job ist, muss die Verantwortung bei jemandem liegen, der dieses KnowHow mitbringt. Das kqnn ein Freelancer-IT-Admin sein, der zB 2 Tage die Woche bei euch ist (wie bei uns) oder eben ein Systemhaus, das jederzeit jemanden vorbeischicken kann.

Nur um das mal in das richtige Licht zu rücken: Ich hab grundsätzlich das KnowHow für sowas, aber den Schuh ziehe ich mir trotzdem nicht an. Ich unterstütze unseren Freelancer-Admin ab und an, sei es physisch oder auch mit Wissen, aber wenn der Server abkackt und die Hütte brennt, dann ist er es, der schlimmstenfalls seinen Urlaub abbrechen muss und mitten in der Nacht in die Firma fährt.

Das A und O ist daher der Support. Die Einrichtung an sich ist nämlich kein Hexenwerk, es kommt aber auf die Details an. Richtig Geld kostet es allerdings erst dann, wenn die Kiste mal ausfällt und die Firma im worst case tagelang nicht erreichbar oder sogar handlungsunfähig ist.

 

[dipii]

Ich würde dort eine kleine FortiGate ins Auge fassen. Wie sieht es denn mit der Bereitschaft aus, für Support & Co. einen jährlichen Beitrag zu leisten? Unabhängig der Marke macht so eine Firewall erst wirklich Sinn, wenn Antivirus, IPS, Web- & Applikationssilter etc. immer vom Herstelle aktuell gehalten werden. Und das kostet Geld.

Wäre auch nicht das Problem, kommt halt auf den Preis an. Dort gibt es sicherlich je nach Service auch unterschiede.

Ganz fachfremd bin ich nicht, ich komme aus der IT (gelernter FiSi) und habe früherauch jahrelang in dem Bereich gearbeitet. Jetzt mache ich allerdings seit mehr als 10 Jahren nur noch Beratung und Projekte und bin daher vorsichtig so etwas alleine zu stemmen, meine Kenntnisse sind eingerostet daher frage ich hier um Rat. Zudem habe ich auch nicht mehr die Zeit mich da wieder groß einzuarbeiten. Das gibt auch keine Probleme mit dem Chef, der weiß das und erwartet das auch nicht.

Ich gehe nicht davon aus, dass ich bei einem 4 Mann Unternehmen einen IT-Admin 2 Tage die Woche zu Rat ziehen muss. Das einzige was wir extern vergeben würde wäre die besagte Firewall, wenn das wirklich nach der erstmaligen Einrichtung nötig ist.

Ich melde mich wenn ich die ersten Preise habe, dann können wir Modell + Service bewerten. Habt mir auf jeden Fall schon geholfen

 

[maxik]

Spoiler: DAS UND NICHTS ANDERES!

Wichtiger als die Hardware ist am Ende tatsächlich der Support. Ich weiß ja nicht wie es um dein KnowHow bestellt ist bzw. was deine eigentliche Tätigkeit bei dem Unternehmen ist, aber wenn du dich mit sowas nicht auskennst, weil es einfach nicht dein Job ist, muss die Verantwortung bei jemandem liegen, der dieses KnowHow mitbringt. Das kqnn ein Freelancer-IT-Admin sein, der zB 2 Tage die Woche bei euch ist (wie bei uns) oder eben ein Systemhaus, das jederzeit jemanden vorbeischicken kann.

Nur um das mal in das richtige Licht zu rücken: Ich hab grundsätzlich das KnowHow für sowas, aber den Schuh ziehe ich mir trotzdem nicht an. Ich unterstütze unseren Freelancer-Admin ab und an, sei es physisch oder auch mit Wissen, aber wenn der Server abkackt und die Hütte brennt, dann ist er es, der schlimmstenfalls seinen Urlaub abbrechen muss und mitten in der Nacht in die Firma fährt.

Das A und O ist daher der Support. Die Einrichtung an sich ist nämlich kein Hexenwerk, es kommt aber auf die Details an. Richtig Geld kostet es allerdings erst dann, wenn die Kiste mal ausfällt und die Firma im worst case tagelang nicht erreichbar oder sogar handlungsunfähig ist.

Ich hab im ersten Moment psychisch gelesen

 

[Lawnmower]

Ich würde so vorgehen wenn das Knowhow Inhouse nicht vorhanden ist:
2-3 Anbieter raussuchen die das als Dienstleistung anbieten (Ersteinrichtung + Support), Offerten machen lassen und ob die dann Hardware mit Forti oder sonstwas machen, ist sekundär bzw. nicht dein Problem - solange der Anbieter ein paar gute nachvollziehbare Referenzen vorweisen kann, passt das. Wichtig ist sicher dass Du konkrete Anforderungen eurerseits liefern kannst/musst: Wieviel Bandbreite hat der Internetanschluss und wird der in den nächsten Jahr erhöht? Brauchts VPN für Homeoffice und Roadwarriors und wenn ja wieviele User (wegen CPU Leistung und Anzahl Lizenzen)? Ist die Uptime wichtig, evtl ist ein 2. WAN Anschluss nötig oder in naher Zukunft geplant - dann muss die Firewall das auch können. Gibts Services Inhouse die extern erreichbar sein müssen? Und noch einige weitere.
Da hat man oft schon genug zu tun mit den ganzen Abklärungen und ist dann froh wenn die Firewall selber ein Profi konfiguriert und man nicht auch noch das als Verantwortung übernehmen muss.

 

[Raijin]

Wäre auch nicht das Problem, kommt halt auf den Preis an. Dort gibt es sicherlich je nach Service auch unterschiede.

Auch Systemhäuser haben gestaffelte Preise. Es ist klar, dass die einem Unternehmen mit 4 Mitarbeitern keine 10.000€ im Monat abknöpfen können. Wie engmaschig der Support sein muss, ist natürlich eine Detailfrage, die nur ihr beantworten könnt. Ist eine funktionierende Internetverbindung mit allem drum und dran für euren Job überlebenswichtig? Oder ist das halb so wild, weil ihr sowieso weitestgehend offline arbeitet und ggfs eure Mails, o.ä- sogar bei einem externen Dienstleister hostet?

Diese Anforderungen sind aber über ein Forum nur schwierig zu beurteilen und zu diskutieren. Schon allein deswegen, weil du ja nicht weißt was die anderen und ich tatsächlich beruflich machen und welchen Hintergrund wir haben. Ich könnte Hörgeräteakustiker sein oder laut @maxik scheinbar auch Psychologe
Dementsprechend sind auch alle Aussagen in einem Forum, meine eingeschlossen, mit Vorsicht zu genießen, weil bei dem einen oder anderen unter Umständen sehr viel gefährliches Halbwissen dabei ist.

Ganz fachfremd bin ich nicht, ich komme aus der IT (gelernter FiSi) und habe früherauch jahrelang in dem Bereich gearbeitet. Jetzt mache ich allerdings seit mehr als 10 Jahren nur noch Beratung und Projekte und bin daher vorsichtig so etwas alleine zu stemmen, meine Kenntnisse sind eingerostet daher frage ich hier um Rat.

Das wiederum sind zumindest schon mal gute Voraussetzungen. Zwar bleibt das Problem mit der Verantwortlichkeit wie ich oben schon erwähnte, aber je nach Anforderungen wäre es beispielsweise auch eine gangbare Lösung, sich ein 2. Gerät als Ersatz auf Lager zu legen, das du im Zweifelsfall mit einem Backup bespielen und einbauen kannst. Hilft natürlich wenig, wenn du im Urlaub oder geschäftlich viel unterwegs bist und der Ernstfall genau dann eintritt - da ist eben der Vorteil des Systemhauses, weil da im Zweifelsfalle der Chef höchstpersönlich mitten in der Nacht aufstehen muss, weil er seine Mitarbeiter alle in die Ferien geschickt hat - und wenn er es nicht tut, habt ihr eine rechtliche Handhabe für Schadensersatz.

 

[PHuV]

Ich könnte Hörgeräteakustiker sein oder laut @maxik scheinbar auch Psychologe

Psychologe ist kein geschützter Begriff, daher darfst sich so jeder bezeichnen. 😉

 

[kutjub]

Moin, an den TE:

Wo ist Dein Anforderungskatalog?
Ohne diesen, würde ich gar nicht so ein (kleines) Projekt starten.

Oben wurden ja schon FW benannt. -> Die üblichen Verdächtigen.

Mir stellt sich die Frage: Warum brauchts Du / Kunde überhaupt eine FW?
Welche Dienste sollen denn überhaupt im Netz angeboten weren?

Grüße