Brauche Tipps zur Auswahl einer starken HW-Firewall-/Router

#1 Hallo Leute,

In unserer Firma soll eine "richtige" Hardware-Firewall angeschafft werden, die mehr Sicherheit bietet als ein Linux-System und nicht so oft von Hand nachgepatcht werden muss.
Das System sollte eine halbwegs einfach zu verstehende Konfiguration bieten und es ermöglichen, VPNs zu kleinen HW-Routern (z. B. Netgear FP114-R) bei Mitarbeitern zu Hause aufzubauen.

Was würdet Ihr empfehlen? Ich habe mir die Cisco Pix 506E angeschaut, scheint alles zu haben, ist fast etwas zu groß, aber wenn sie denn sicher und zuverlässig ist, was soll's. Der Preis ist in dem Fall eher zweitrangig. Sind die wirklich so kompliziert zu konfigurieren?
Von Checkpoint und anderen Konkurrenten weiss ich noch gar nichts, habe aber in einer Nebenbemerkung in einem Thread hier gelesen, dass Checkpoint einfacher zu konfigurieren sein soll. Ist das so? Und was gibt es sonst so für Erfahrungen?
Gibt es bei Systemen dieser Preisklasse im Falle eines Patches eine brauchbare Automatik-Patch-Funktion bzw. hält sich der Aufwand in Grenzen?
Wenn ich alles in langwieriger Kleinarbeit selber machen muss, bleibe ich lieber bei Linux .

Danke für jede Antwort!

#2 Hy ElCid !

Wir verwenden eine Checkpoint FW-1 NG / FP3 mit VPN und Smart Defense
auf Basis einer NOKIA 440 Box.
Die hat auch eine Kleinigkeit gekostet.
1. die Nokia Box selber
2. die Checkpoint Enterprise Lizenz

Die Installation der FW haben wir von einer namhaften externen Firma
machen lassen. Ausserdem haben wir einen Wartungsvertrag auf die
Box sowie eine SW-Wartung für die Checkpoint-Software.

Wenn die Checkpoint richtig installiert wurde, läuft die Kiste auch.
Rules pflege ich selber ein, auch für VPN Clients. (über einen Windows GUI)

Fixe VPN <-> VPN Verbindunden zu Partnerfirmen für Remotewartung
lassen wir von der externen Firma machen.
SW-Updates und IPSO-Updates ebenfalls.

Grundsätzlich verwenden wir nur "positiv-rules".
d.h. was nicht ausdrücklich in den rules erlaubt wird, ist verboten.

wir hosten unser homepage nicht selbst. die steht beim provider.
wir haben von außen kein OWA (Outook Web Access - Exchange)
wir erlauben kein Streaming Audio und Video, keine MP3 usw.

Als Zusatz zur Firewall verwenden wir noch:
Contentscanner (Active Content z.b. Active X, Java Scripts usw.)
ISA-Server mit URL-Filter (Kategorisierte Gruppen mit Autoupdate)
2 x Antivirus Produkte von verschiedenen Herstellern.

Ganz schön viel Aufwand. Aber wir schützen damit ca. 1800 Arbeitsplätze.
UND -> Die Mitarbeiter sind ja zum arbeiten angestellt und nicht zum surfen.

net.works

#3 Hallo net.works,

Darf man fragen, was das ganze - grob - gekostet hat? (HW / Lizenz / Wartung)
Und das wichtigste: Bist Du mit der Funktionalität / Bedienung / Oberfläche zufrieden?

Grüße,
Elcid

#4 Hi,
die o.g. Konfiguration klingt nach weit mehr als 8000¤, schon alleine sie Lizenzkosten schlagen bei Checkpoint richtig rein, alles wird separat berechnet (user/VPN-User/floodgate usw.), und Nokia lässt sich auch fürstlich entlohnen .. denke, daß das in keiner Relation zu einer kleinen PIX für ~1000¤ steht ..
Hier hat sich jemand schonmal gedanken gemacht, ist evtl. hilfreich :
http://www.roble.com/docs/fw1_or_pix.html

Als Alternative könnte ich noch die Astaro Firewall vorschlagen, ist an sich ein auf einem "gehärteten Linux" basierte FW, die im letzten Jahr zu einigem Ruhm gekommen ist .. Pyramid bietet z.B. Appliances damit für ~2300¤ an. Pluspunkt : Das System ist "Free for personal use", man kann sich auch als Business-kunde eine 30tägige demo runterladen / ansehen, sie kann von Haus aus ne ganze menge .. manchmal funktioniert sogar die Live-demo auf der HP von Astaro
Anschauen lohnt auf jeden Fall, installation ist (fast) idoitensicher und Konfiguration / Pflege durchdacht und angenehm.
www.astaro.de
Gruß
Hugo

#5 @ElCid

Die Anschaffungskosten für die Niokia-Box + Checkpoint Enterprise Lizenz
mit Smart Defense, damals noch ohne VPN-Lizenz,
lagen bei ca. 20.000€ (vor 5 Jahren)

Wie hoch die jährlichen Wartungskosten liegen, kann ich dir nicht
sagen. Das macht eine andere Abteilung.

Mit der Funktionalität und über den GUI gibt es nichts zu meckern.

Bis jetzt sind wir sauber geblieben.

net.works

#6 Also nach meinen Erfahrungen nach hat Checkpoint nur eine nette GUI - ne Quatsch, man braucht nur sehr viel Erfahrung mit Firewalls, dann ist die Checkpoint in Ordnung. Es gibt viele Kleinigkeiten einzustellen, was aber für Geübte Leute, sag ich mal so, kein Problem sein sollte.
Cisco-Firewalls kommen bei unserer Firma nicht besonders gut an. Ausser Cisco Works - da ist dann aber noch mehr mit drin.
Als Tipp könnte ich dir noch mal CyperGuard, Nortel und ISS nennen.

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#7 Hmm, wir haben jetzt von einer Firma ein Angebot für eine Pix 506E mit Einrichtung der Grundfunktionen und VPN inklusive Basic-Support von Cisco für 1.800 netto.
Ich denke, das werden wir nehmen. Alles andere ist verglichen mit der Größe unserer Firma eine zu heftige Investition.

Danke für Eure Tipps!

@hugo:

Der Vergleich auf Deinem Link war besonders hilfreich! Mir ist Cisco auch deshalb sympathischer, weil ich mich nicht noch mit einem darunterliegenden OS beschäftigen muss... auch bei Linux gibt es ja so einiges zu härten...
Die Sachen von Astaro werde ich mir mal für daheim ansehen.

Gruß,

ElCid