Kennt sich jemand mit Firewall Appliances aus ?

  • Ich will doch mal sehen, ob hier der ein oder Andere Spezialist rumschwirrt.

    Ich plane gerade eine Auslagerung unserer VPN Verbindungen in ein externes Rechenzentrum. Aktuell wird dafür eine CheckPoint 4200 Appliance und ein OpenVPN Gateway genutzt.
    Nun sollen die vorhandenen Verbindungen auf IPSec umgestellt und auf einem HA Cluster ausgelagert werden. Hier mal eine kurze Übersicht, wie die Tunnels später laufen sollen...

    Auf dem Cluster werden ca. 20 Tunnels definiert, die man in 3 Gruppen einteilen kann:

    1) eine Verbindung zum Mainframe - hierhin muss jeder andere Tunnel geroutet werden (und natürlich von dort zurück)
    2) eine Verbindung zur Zentrale (das sind wir) - unser lokales Netz wird nicht geNATtet, das gesamte Mainframe Netz ist erreichbar
    3) mehrere Verbindungen zu Kunden - die lokalen Netze hinter dem jeweiligen Tunnel werden auf jeweils eine IP Adresse geNATtet, im Mainframe Netz ist nur eine Adresse erreichbar

    Weiterhin muss das Netzwerk (ggfs. nur einzelne Adressen), in dem sich der HA Cluster befindet, von allen Tunnels erreicht werden, da dort Linux Server platziert werden sollen.

    Angeboten wurde mir jetzt eine CheckPoint 4200 HA, die mit ca. 4000€ (alles Netto) zu Buche schlägt, Wartung und Firewall Lizenz kommt dann jährlich auf ca. 4500€.
    Alternativ habe ich ein Angebot für eine Sophos SG 210 hier liegen, 2 Geräte für zusammen ca. 3000€, Wartung und Firewall Lizenz pro Jahr ca. 600€

    Auf dem Papier ist die Sophos sogar stärker als die CheckPoint, aber jetzt die Frage: Sind die beiden Geräte für unser Vorhaben überhaupt richtig dimensioniert bzw. sind die immensen Mehrkosten der CheckPoint gerechtfertigt ?
    Leider konnte mir bisher niemand wirklich (objektiv) Pro und Contra nennen, da natürlich beide Hersteller ihr Produkt für das Beste halten...

    NAS/SmartHome:
    Synology DS216+II|8GB|2TB RAID1|MariaDB
    Synology DS916+|8GB|27TB
    NUC6CAYH(FHEM)|4GB|30GB SSD|Aeon Labs Z-Stick Gen5|TCM310 (Enocean)|Hue Bridge 2.0|HomeMatic CCU3
    APC Back-UPS CS 650
    Kodi (v18.7):
    NUC7I5BNH|8GB|60GB SSD|120GB M2|LG BD-RW|LG 34WK650-W|Focusrite Scarlett 2i4|Neusonik NE08
    FireTV Stick 2nd Gen & ZBox CI321|4GB|60GB SSD|Samsung UE55F6500|Pioneer SC-1223/BDP-LX55|B&W 600 Series 3
    FireTV Stick 2nd Gen|Philips 32PF7496
    FireTV Stick 2nd Gen|Samsung ?
    FireTV Stick 2nd Gen|AOC LE22K097

  • Tut mir leid das zu sagen aber diese durchaus sicherheitsrelevante Frage gehört in ein Fachunternehmen.
    Die Leute werden für eine vernünftige Dimensionierung sorgen. Wenn Euch das zu teuer ist tuts mir leid.
    Die Frage hat meines Ermessens nichts in einem Fanforum zu einem Mediacenter zu suchen.
    Nehmt euch z.B. Telekom Systems und lasst Euch ein vernünftiges Angebot geben.

    Warum ich das so sage? Ich komme aus der Branche und hab schon diverse VPNs in Betrieb genommen. Dazu gehört eine Ortsbegehung und ein vernünftiges Planungsgespräch.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Die Angebote liegen ja bereits vor, allerdings kann mir niemand wirklich sagen, weshalb seines besser sein soll. Dadurch ist es für mich um so schwerer zu entscheiden...

    Klar hat die Frage nichts mit einem Mediacenter zu tun, allerdings ist der Nerd-Level hier ziemlich hoch und es gibt vielleicht jemanden, der mir sagen kann, wodurch sich die Geräte überhaupt unterscheiden.

    NAS/SmartHome:
    Synology DS216+II|8GB|2TB RAID1|MariaDB
    Synology DS916+|8GB|27TB
    NUC6CAYH(FHEM)|4GB|30GB SSD|Aeon Labs Z-Stick Gen5|TCM310 (Enocean)|Hue Bridge 2.0|HomeMatic CCU3
    APC Back-UPS CS 650
    Kodi (v18.7):
    NUC7I5BNH|8GB|60GB SSD|120GB M2|LG BD-RW|LG 34WK650-W|Focusrite Scarlett 2i4|Neusonik NE08
    FireTV Stick 2nd Gen & ZBox CI321|4GB|60GB SSD|Samsung UE55F6500|Pioneer SC-1223/BDP-LX55|B&W 600 Series 3
    FireTV Stick 2nd Gen|Philips 32PF7496
    FireTV Stick 2nd Gen|Samsung ?
    FireTV Stick 2nd Gen|AOC LE22K097

  • Ok, dann geb ich dir ein paar Unterschiede:
    Der Checkpoint ist ungemein leistungsfähiger. Möglich sind hier bis 25.000 VPN Verbindungen und 400 Mbit Übertragung via IPSEC VPN.
    Die Sophos sind für Kleinunternehmen. Hat 14 Gbit Ports. also 10 Ports mehr als die Checkpoint in der Grundaustattung.
    Dafür ist die Checkpoint halt universell erweiterbar auf die wirklichen Bedürfnisse und kann wachsen mit dem Unternehmen.

    Alles in allem solltest Du einfach mal die Datenblätter vergleichen (inkl. Optionen)
    Checkpoint: https://www.checkpoint.com/downloads/prod…e-datasheet.pdf
    Sophos: https://www.sophos.com/de-de/medialib…df?la=de-DE.pdf

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • 25000 VPN Verbindungen ... wir haben 20 und viel mehr werden das auch nicht mehr. Darüber laufen ca. 500 User und die Appliance muss auch keine aktive Filter (für Webzugriffe) haben oder Antivirenprüfungen machen, da kein User vor Ort sitzt ...

    NAS/SmartHome:
    Synology DS216+II|8GB|2TB RAID1|MariaDB
    Synology DS916+|8GB|27TB
    NUC6CAYH(FHEM)|4GB|30GB SSD|Aeon Labs Z-Stick Gen5|TCM310 (Enocean)|Hue Bridge 2.0|HomeMatic CCU3
    APC Back-UPS CS 650
    Kodi (v18.7):
    NUC7I5BNH|8GB|60GB SSD|120GB M2|LG BD-RW|LG 34WK650-W|Focusrite Scarlett 2i4|Neusonik NE08
    FireTV Stick 2nd Gen & ZBox CI321|4GB|60GB SSD|Samsung UE55F6500|Pioneer SC-1223/BDP-LX55|B&W 600 Series 3
    FireTV Stick 2nd Gen|Philips 32PF7496
    FireTV Stick 2nd Gen|Samsung ?
    FireTV Stick 2nd Gen|AOC LE22K097

  • Ich sprach halt von dem maximal möglichen. Das man vieles nicht braucht ist klar. Läuft ja mehr auf so einer UTM. Virenschutz, Email Accounts, Firewall usw.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Ist hier absolut nicht notwendig, da die verbundenen Netze an sich geschützt sind und die Linux Server ebenfalls über Sophos AV verfügen. Also blankes IPSec VPN mit Source-/Dest-NAT
    Lediglich IPS und Application Control werden benötigt.

    NAS/SmartHome:
    Synology DS216+II|8GB|2TB RAID1|MariaDB
    Synology DS916+|8GB|27TB
    NUC6CAYH(FHEM)|4GB|30GB SSD|Aeon Labs Z-Stick Gen5|TCM310 (Enocean)|Hue Bridge 2.0|HomeMatic CCU3
    APC Back-UPS CS 650
    Kodi (v18.7):
    NUC7I5BNH|8GB|60GB SSD|120GB M2|LG BD-RW|LG 34WK650-W|Focusrite Scarlett 2i4|Neusonik NE08
    FireTV Stick 2nd Gen & ZBox CI321|4GB|60GB SSD|Samsung UE55F6500|Pioneer SC-1223/BDP-LX55|B&W 600 Series 3
    FireTV Stick 2nd Gen|Philips 32PF7496
    FireTV Stick 2nd Gen|Samsung ?
    FireTV Stick 2nd Gen|AOC LE22K097

  • Ist hier absolut nicht notwendig, da die verbundenen Netze an sich geschützt sind und die Linux Server ebenfalls über Sophos AV verfügen. Also blankes IPSec VPN mit Source-/Dest-NAT
    Lediglich IPS und Application Control werden benötigt.

    wenn du schon sophos av einsetzt dann tu dir den gefallen und schau dir die sophos FW Lösungen an ;) ist einiges schöner als Checkpoint - schutzfunktionen sind recht glecih - am ende sinds alles Firewalls, aber die sophos hat shcon was. gerade das reporting...

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!