Appliance Router / Firewall. Watchguard of iets anders?

wat versta jij onder wan poorten. Als dat een DSL interface is beperk je je keuze al behoorlijk omdat geen enkele serieuze firewall dit heeft. Je hebt dan gewoon een router en een firewall nodig.
Ook is het aantal poorten nogal hoog. Ze bestaan wel maar je kan denk ik net zo goed met VLANs gaan werken.

Zelf ben ik helemaal weg van NetASQ (www.netasq.com). Ik heb hier een NetASQ F200 met 3 poorten enabled staan (2x WAN, 1xLan) de Lan kant hangt aan een coreswitch (fiber), waarvandaan ik de routering naar de rest van het netwerk doe.

De F200 is EENVOUDIG te beheren. Dat wil zeggen dat je ontzettend veel opties hebt, maar ook een uitstekende handleiding en hele goede software voor het beheer. Ik zou als ik jou was op de website van NetASQ eens kijken naar de diverse appliances die ze leveren.

Overigens kun je voor de helft van het geld een tweede F200 erbij kopen en een een high-availability oplossing inrichten. Gezien je budget zou je ook voor een F800 (heeft 8 poorten, vrij configureerbaar als WAN of LAN) of misschien wel een F2000 kunnen gaan, maar normaal gesproken worden die gebruikt voor hele grote bedrijven.

Als je meer wilt weten... vragen staan vrij!

[ Voor 3% gewijzigd door empheron op 17-10-2006 09:23 ]

- Mediastreams
Dat kan ik naar believen aan en uit zetten. Zo laat ik bijvoorbeeld bepaalde streams voor windows media player wel door, maar Real weer niet. Hierbij hoef ik dus geen poorten te configureren maar gewoon aan te klikken dat ik dat wil

-
M.b.t. P2P zit er een module ingebouwd in de IPS het (ASQ gedeelte uit NetASQ) die traffic kan scannen en blokkeren. Zowieso kan de NetASQ ook alles scannen dat in de VPN tunnels gebeurd.

... screenshots volgen....
http://www.wial.nl/images/netasq-screen1.jpg

Traffic management is naar mijn gevoel heel flexibel in te regelen. Je kunt filtersets maken waarin je ongelofelijk flexibelen rules kunt definieeren voor de routering van je traffic. Daarnaast kun je natuurlijk ook blokkeren en QOS instellingen maken voor je segmenten / protocollen etc.
http://www.wial.nl/images/netasq-screen2.bmp
http://www.wial.nl/images/netasq-screen3.bmp

[ Voor 32% gewijzigd door empheron op 17-10-2006 09:39 ]

Verwijderd schreef op dinsdag 17 oktober 2006 @ 16:28:
Heeft er iemand ook nog andere suggesties voor appliances? Wat wel zo is, is dat Watchguard beste hoge prijzen rekent voor jaarlijkse terugkomende kosten voor support en AV achtige oplossingen.

Die hoge prijzen heb je met alle leveranciers wel, de maintenance fee is meestal ook zo 20% of meer.

Wij zitten ook net in een selectieprocedure, WatchGuard is al afgevallen vanwege de beperkte centrale management mogelijkheden en een beperkte wereldwijde support.
Qua functionaliteiten zag het er wel goed uit, en voor een kleinere omgeving is het wel het overwegen waard.

Netscreen is hier een goede kanshebber, vooral vanwege de zeer uitgebreide managementopties.
Veel functionaliteiten zijn op meerdere modellen aanwezig, en de prijsstelling is dan vaak gericht op throughput ipv functionaliteit.
Oh ja, het heet tegenwoordig Juniper na de overname.

Ben hier net met een SG 550 demo aan het spelen, leuk spul!

Ook een veelzijdig toestel, wat je volledig modulair kan opbouwen, is de aXs GUARD. (www.aXsguard.com)
Is overlaatst nog in LAN magazine uitgeroepen tot beste keuze vanwege zijn veelzijdigheid, en is bovendien nog zeer eenvoudig in gebruik.

Fortinet levert ook fijne unit's vind ze persoonlijk erg makkelijk in mekaar steken, je snapt ze eigenlijk zonder problemen zonder documentatie.

het enige is dat net als elke variant ze jaarlijks relatief hoge kosten rekenen, maargoed, hun moeten ook eten niet.

Verwijderd schreef op maandag 16 oktober 2006 @ 21:42:
Voor ons hudige netwerk ben ik op zoek naar een goede hardware firewall/router oplossing. De voorkeur gaat uit naar een appliance.

De appliance moet minimaal beschikken over de volgende eigenschappen;

- er moeten minimaal 2 WAN poorten op zitten.
- minimaal 6 LAN poorten. (i.v.m, meerdere DMZ’s en segmenten)
- maar het liefst alle poorten vrij kunnen configureren
- traffic management/shaping
- load balancing
- high availability (koppeling met 2e appliance)
- fail-over mogelijkheden


Op ons netwerk werken ongeveer 100 concurrent users. Nu nog is er een 2MB SDSL internet verbinding. Binnenkort komt er een 2e SDSL lijn bij. Er wordt regelmatig veel data via ftp verzonden. Ook wordt er op veel werkplekken streaming video gekeken. Van belang is dat mail , web en ftpverkeer een vast toegewezen hoeveelheid bandbreedte krijgt. Ook moet de appliance
services als (web)messenger, p2p programma’s enz. goed kunnen blokkeren. Dit is een vereiste.
De appliance moet dus goed om kunnen gaan met traffic management/shaping. Er wrdt door ongeveer 10 mensen gebruik gemaakt van VPN, waarbij het niet vaak voorkomt dat er veel tegelijk werken. De appliance hoeft VPN niet perse te ondersteunen.

Ons oog viel op de Watchguard Firebox X750e. Deze biedt naast goede router functionaliteiten ook goede mogelijkheden op het gebied van beveiliging. Het verveldende van veel apparaten is dat je jaarlijks terugkomende kosten hebt. Voor deze Watchguard is dat € 700,- per jaar voor antivirus en IPS. Deze optie hebben we nodig ivm het kunnen blokkeren van msn en p2p achtige programma’s. Het budget is € 9000,-. Omdat high availability ook wens is, kunnen we voor dit budget 2x deze firebox aanschaffen. We hebben al een oplossing tegen spam, deze functie hoeft er dus niet in te zitten.

Omdat er toch wel veel aanbod is in de appliance markt, vroeg ik me af wat jullie gebruiken in een redelijk standaard kantoornetwerk omgeving als deze. Zoals ik al zei is high availability geen vereiste maar een pre. Het budget geldt dus ook voor 1 apparaat.

Wie heeft er ervaring met deze wachtguard serie?
Wellicht adviseer je een andere appliance?

Een PIX heeft op zich niet de voorkeur vanwege het ontbreken van de kennis.
Heb ook gelezen een Netscreen uitgebreidere opties tegen een iets hogere prijs biedt. Netscreen ondersteunt bijvoorbeeld in de 25/50 serie al het gebruik van vlan's en dat kunnen die Watchguards niet. Geen lastige management software gewoon rechtstreeks met admin-site of cli op de netscreen. Bij de Watchguard is dat maar erg lastig.


Alvast dank.

Ik had bij m'n vorige werk een Watchguard Core X700 in bedrijf. Het is een prima firewall voor de niet zo grote omgeving met geen heel bijzondere eisen. De lat mag trouwens best hoog, maar er zijn een paar specialistische dingen die het ding niet kan. De prijzen zijn normaal, helaas.

Mijn allergrootste probleem vond ik dat je met de Watchguards features separaat bij moet kopen. Als hij in X500 mode kan wat je wilt behalve één dingetje, dan kon je wel eens een prijzig upgradeje te wachten staan. Daar moet je dus goed op letten.

Van de support was ik geen grote fan, ten eerste krijg je telefoontjes van Indiërs die minder Engels spreken dan ik en die bovendien niet schijnen te snappen dat als ik zeg wat ik al geprobeerd heb dat ik dat niet nog een keer met hun aan de lijn wil overdoen. Aan de andere kant hebben ze me wel een paar keer goed geholpen met zaken, alleen eer je ze zover hebt dat ze een techneut dat ding laten nakijken kun je wel een dag verder zijn. De support is dus niet zinloos, maar die van bijvoorbeeld Microsoft heb ik altijd veel beter gevonden. Overigens heb je met de handleiding en het supportforum de support alleen nodig als het ding dingen doet die écht niet kloppen volgens de handleiding. Meestal is zo'n techneut dan even zoet en ontdekt dat je collega met z'n vingers in de configfile op het apparaat zelf heeft zitten roeren. Afknippen bij de kootjes.

De beheersbaarheid van Watchguards is prima, zolang je snapt wat je aan het doen bent en niet centraal honderd van die dingen wilt beheren.
Traffic shaping werkt vrij aardig, met filters op poortnummer, op contenttype en voor bepaalde services zijn er proxys aanwezig, bijvoorbeeld voor SMTP ontvangt de Watchguard de email, stript potentieel linke headers en content eruit, en streamt het restant door naar je Exchange machine. Dat werkt best goed en levert weinig vertraging op (paar seconden max).

Je wilt 2 WAN poortjes zeg je. Lang niet alles ondersteunt dat, maar er zijn wel zulke mogelijkheden. De tweede poort was dan bij mij wel alleen fallback: het was dus geen load balancer. Misschien moet je daarvoor even kijken naar een apart loadbalancertje die je dan aan je Firebox knoopt, in elk geval effe checken of ie dat nu ook kan.

De on-board antivirus en IPS oplossingen heb ik niet getest, maar ik heb op het support forum weinig topics gezien die niet gesloten werden na een uitvoerige babbel over het lezen van de handleiding en het oplepelen van hele lappen tekst uit die handleiding, dus ik gok dat dat wel redelijk werkt.

VPN ondersteuning werkt prima, dat wil je misschien toch wel weten ;-)

Denk ook eens aan nokia / checkpoint. vooral de 500 serie is een goede lijn die je zeker wel zal aanspreken.