Toon posts:

Ervaringen firewalls ter overweging nieuwe aanschaf

Pagina: 1
Acties:

donderdag 12 februari 2009 10:33

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Topicstarter
Wij hebben verschillende types firewalls in ons netwerk;

- IPSO clusters met Checkpoint FW-1
- IPSOs met Checkpoint FW-1 VRRP
- Cisco ASA's
- Cisco FWSMs

Maar geen enkele van deze firewalls is erg prettig in gebruik en onderhoud.

De checkpoints zijn in beheer erg prettig icm. SmartDashboard. Rulemanagement is daarmee erg goed uit te voeren. Maar infrastructurele wijzigingen en upgrades zijn een complete crime met deze dingen. Daarnaast ondersteunen ze IPv6 ERG matig.

De Cisco ASA en FWSM zijn daarnaast weer erg prettig om te upgraden. Een nieuw image en een reboot is voldoende. Rulemanagement is hier echter weer veel slechter. De CLI is erg onpractisch met grote rulebases en word erg onoverzichtelijk met remarks, maar onbruikbaar zonder remarks. Daarnaast is versioning slecht. En dan ben ik nog helemaal niet te spreken over de Java ASDM die erbij zit.

Gelukkig is het e.e.a. bijna afgeschreven, dis ik wil nieuwe firewalls.

Ik weet echter niet waar moet beginnen met orienteren op de markt. Natuurlijk heb ik de gartner rapportjes gelezen, maar ik zou graag wat ervaringen uit het veld vernemen,

Randvoorwaarden voor nieuw ijzer dat ik zoek:

- tot 4G firewalling capaciteit (evt. ook IDS/IDP)
- liefst 10G interfaces
- high-available (vrrp is ok)
- ipv4 en ipv6 support
- rtsp en ftp aware
- duidelijk te beheren rulebase
- versioning van de rulebase
- goede mogelijkheden om verkeer te loggen per regel
- eenvoudige upgrades

Ik zou dan ook graag wat firewall ervaringen van jullie vernemen, zowel hoe jullie kijken tegen bovengenoemde producten en de problemen die ik aanhaal, maar daarnaast ook naar andere firewalls, zoals bijv. Juniper of Fortinet.

De actuele opbrengst van mijn Tibber Homevolt

donderdag 12 februari 2009 11:12

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

Tja, ik denk niet dat de management omgeving van de Checkpoints te overtreffen valt...als je dat gewoon bent...

Juniper is denk ik een goede 2e keuze en de NSM voor het beheer is niet zooo slecht.
We hebben hier verschillende van die krengen draaien in multi-gigabit setups.
Toch een stevige vendor met goede support en rijke features en modulaire hardware..., clustering, virtuele systemen etc,etc,etc

Als je 10G wilt zal het eerder Netscreen 5200/5400 worden of de SRX'en (pokkeduur)
Naar IDP ook retesnel (ASIC) !

donderdag 12 februari 2009 11:14

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

Juniper heeft ook wel wat ervaring in IPv6 dus dat zit ook wel goed ;-)
Zou je in het vervolg gewoon de edit button kunnen gebruiken :)
Zenx..

[ Voor 36% gewijzigd door een moderator op 13-02-2009 08:42 ]

donderdag 12 februari 2009 23:14

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

_DH schreef op donderdag 12 februari 2009 @ 10:33:

De Cisco ASA en FWSM zijn daarnaast weer erg prettig om te upgraden. Een nieuw image en een reboot is voldoende. Rulemanagement is hier echter weer veel slechter. De CLI is erg onpractisch met grote rulebases en word erg onoverzichtelijk met remarks, maar onbruikbaar zonder remarks. Daarnaast is versioning slecht. En dan ben ik nog helemaal niet te spreken over de Java ASDM die erbij zit.
Werk je met ASA firmware 7.x / ASDM 5.x of met ASA firmware 8.x / ASDM 6.x?
Daar zit een verschil tussen... En de ASDM kan je evt. ook stand-alone installeren.

Voor grotere omgevingen (of een enkele box met meerdere virtuele firewalls) wordt vaak ook Security Manager gebruikt voor het uitrollen van configuraties / policies en MARS voor het bijhouden en correleren van logging informatie.

Deze twee tools ondersteunen alle Cisco security devices.
( Niet alleen ASA's, maar ook Secure ISR routers, FWSM's, IPS 4200's, ASA IPS modules, enz. )

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

vrijdag 13 februari 2009 14:16

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Topicstarter
Bl@ckbird schreef op donderdag 12 februari 2009 @ 23:14:
[...]


Werk je met ASA firmware 7.x / ASDM 5.x of met ASA firmware 8.x / ASDM 6.x?
Daar zit een verschil tussen... En de ASDM kan je evt. ook stand-alone installeren.
We hebben ASA8's met ADSM 6, maar ook stand-alone is het een java gedrocht. Daarnaast ben ik niet echt te spreken over FWSMs. We hebben regelmatig gehad dat ze een regeltje 'vergaten'. De regel verwijderen en weer toevoegen was dan de oplossing. De eerste keer was dat nogal wat troubleshootwerk...

De actuele opbrengst van mijn Tibber Homevolt

zaterdag 14 februari 2009 11:10

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 06-02 19:35

Predator

Suffers from split brain

Ik beheer een Checkpoint Cluster. Ik moet wel toegevoegen dat ik voor de rest weinig tot geen ervaring heb met cisco of juniper/netscreen firewalls.

Maar ik begrijp je problemen volledig. Het upgrade proces van Checkpoint appliances (of dat nu Nokia's of wat anders zijn) is niet iets wat je elke week wilt doen. Als je een cluster hebt kan dat wel zonder impact, maar het vraagt tijd. Daarnaast moet is de procedure vrij lang en zit je natuurlijk nog met het management station ook.

Checkpoint appliances hebben doorgaans ook wat minder maximale performance dan juniper en cisco ASA's.

Ik heb al wat geprutst met een ASA en toevallig gisteren ook met een juniper, maar ik zie me daar echt geen uitgebreide rulesset mee beheren.
Onze FW cluster draait ongeveer 400 rules (zeer heterogene complexe omgeving) en dat blijft perfect beheersbaar dankzij de zeer goeide smartdashboard manager. Ook logging blijft een zeer sterk punt bij checkpoint.
Ook het feit dat NAT rules apart beheert kunnen worden vind ik een groot voordeel.

De juniper waar ik gisteren op geprutst had, had amper 20 rules en zelfs dat vond ik al onoverzichtelijk.
Het was wel op de webinterface, maar toch ...
Ik vond er absoluut niets aan.

Ik denk dat je zoiezo toch gaan moeten uitmaken wat het belangrijkste is.
Heb je een uitgebreide ruleset, dan denk ik echt dat je beter bij checkpoint blijft.
Is het vooral een performance en fast upgrades zaak, dan is het misschien toch het moment om over te schakelen ...


PS: waarom vind je stateful failover niet nodig ?

Everybody lies | BFD rocks ! | PC-specs

zaterdag 14 februari 2009 14:01

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Topicstarter
Predator schreef op zaterdag 14 februari 2009 @ 11:10:
Ik beheer een Checkpoint Cluster. Ik moet wel toegevoegen dat ik voor de rest weinig tot geen ervaring heb met cisco of juniper/netscreen firewalls.

Maar ik begrijp je problemen volledig. Het upgrade proces van Checkpoint appliances (of dat nu Nokia's of wat anders zijn) is niet iets wat je elke week wilt doen. Als je een cluster hebt kan dat wel zonder impact, maar het vraagt tijd. Daarnaast moet is de procedure vrij lang en zit je natuurlijk nog met het management station ook.

Checkpoint appliances hebben doorgaans ook wat minder maximale performance dan juniper en cisco ASA's.

Ik heb al wat geprutst met een ASA en toevallig gisteren ook met een juniper, maar ik zie me daar echt geen uitgebreide rulesset mee beheren.
Onze FW cluster draait ongeveer 400 rules (zeer heterogene complexe omgeving) en dat blijft perfect beheersbaar dankzij de zeer goeide smartdashboard manager. Ook logging blijft een zeer sterk punt bij checkpoint.
Ook het feit dat NAT rules apart beheert kunnen worden vind ik een groot voordeel.

De juniper waar ik gisteren op geprutst had, had amper 20 rules en zelfs dat vond ik al onoverzichtelijk.
Het was wel op de webinterface, maar toch ...
Ik vond er absoluut niets aan.

Ik denk dat je zoiezo toch gaan moeten uitmaken wat het belangrijkste is.
Heb je een uitgebreide ruleset, dan denk ik echt dat je beter bij checkpoint blijft.
Is het vooral een performance en fast upgrades zaak, dan is het misschien toch het moment om over te schakelen ...


PS: waarom vind je stateful failover niet nodig ?
Baseer je dat op de eis dat vrrp voldoende is? Want met vrrp is stateful failover gewoon mogelijk, daar heb je geen ipso cluster voor nodig.

De actuele opbrengst van mijn Tibber Homevolt

zondag 15 februari 2009 09:43

Acties:
  • tyrinian
  • Registratie: Juni 2001
  • Niet online

tyrinian

Wij gebruik(t)en Watchguard. Hoewel de interface van Watchguard er leuk uitziet hebben we er een ontzettend hoop ellende mee, dus ik adviseer die in ieder geval niet te nemen. Na vergelijkend warenonderzoek voor een vervanger (met vergelijkbare eisen zoals jij) zijn wij uiteindelijk uitgekomen bij Juniper. De Junipers moeten nog geïmplementeerd worden, dus daar kan ik niets over zeggen.

zondag 15 februari 2009 18:14

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

>De juniper waar ik gisteren op geprutst had, had amper 20 rules en zelfs dat vond ik al onoverzichtelijk.
>Het was wel op de webinterface, maar toch ...
>Ik vond er absoluut niets aan.


Deze "webinterface" is *NIET* de Juniper NSM (Network & Security Manager) dewelke een stand-alone beheersplatform is (draait niet op de appliances zelf)

http://www.juniper.net/pr...curity_manager/index.html

zondag 15 februari 2009 18:57

Acties:
  • PolarBear
  • Registratie: Februari 2001
  • Niet online

PolarBear

tyrinian schreef op zondag 15 februari 2009 @ 09:43:
Wij gebruik(t)en Watchguard. Hoewel de interface van Watchguard er leuk uitziet hebben we er een ontzettend hoop ellende mee, dus ik adviseer die in ieder geval niet te nemen. Na vergelijkend warenonderzoek voor een vervanger (met vergelijkbare eisen zoals jij) zijn wij uiteindelijk uitgekomen bij Juniper. De Junipers moeten nog geïmplementeerd worden, dus daar kan ik niets over zeggen.
Wij gebruiken Watchguards en al een jaar of 6 zonder problemen. Je zult voor product X altijd voor en tegenstanders vinden.

Wat ik wil adviseren is een RFI maken en gewoon naar een aantal leveranciers/partijen sturen. Niet alleen blind staren op initiële kosten, maar ook kijken naar onderhoud en SLA's. Zeker in deze tijd willen een groot aantal leveranciers wel een stapje harder doen om business binnen te halen.

zondag 15 februari 2009 23:21

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Nu online

PcDealer

HP ftw \o/

Kijk eens op de SonicWALL website. Daar kun je ook livedemo's bekijken.

Overzicht: bladzijdes 6 en 16.

[ Voor 37% gewijzigd door PcDealer op 15-02-2009 23:53 ]

LinkedIn WoT Cash Converter

zondag 15 februari 2009 23:22

Acties:
  • bobsquad
  • Registratie: Maart 2008
  • Niet online

bobsquad

Kijk eens naar een Astaro Firewall is makkelijk in te stellen naar al jou eisen en makkelijk te beheren.

maandag 16 februari 2009 09:43

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 06-02 19:35

Predator

Suffers from split brain

_DH schreef op zaterdag 14 februari 2009 @ 14:01:
[...]


Baseer je dat op de eis dat vrrp voldoende is? Want met vrrp is stateful failover gewoon mogelijk, daar heb je geen ipso cluster voor nodig.
Ik baseer mij daar inderdaad op, want ik begrijp anders zijn opmerking niet.

VRRP heeft natuurlijk niets met synchronisatie van de statetable te maken.
Ik begreep gewoon uit zijn opmerking dat het voor zijn omgeving voldoende is dat de passive node actief wordt, ook zonder gesyc'te state table.

Everybody lies | BFD rocks ! | PC-specs

maandag 16 februari 2009 09:54

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Topicstarter
Predator schreef op maandag 16 februari 2009 @ 09:43:
[...]

Ik baseer mij daar inderdaad op, want ik begrijp anders zijn opmerking niet.

VRRP heeft natuurlijk niets met synchronisatie van de statetable te maken.
Ik begreep gewoon uit zijn opmerking dat het voor zijn omgeving voldoende is dat de passive node actief wordt, ook zonder gesyc'te state table.
Ah, dan ben ik niet helemaal duidelijk geweest, want ik verwacht namelijk wel een stateful failover. Synchronisatie tussen de beide nodes is dus zeker een vereiste. Wat ik bedoelde met VRRP is het volgende.

Je hebt verschillende opties die bepalen welke node in een cluster het verkeer afhandeld;
- het primary/secondary verhaal van een ASA/FWSM is helemaal een ramp en dat wil ik nooit meer
- een Nokia IPSO cluster met checkpoint draait wel, maar is niet mijn favoriete oplossing
- een VRRP voorkant voor 2 checkpoints is nog het meest deterministisch en beheersbaar in mijn optiek.


vandaar de wens voor VRRP als redundancy mechanisme, maar met sync op de achtergrond en stateful failover.

De actuele opbrengst van mijn Tibber Homevolt

maandag 16 februari 2009 12:19

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 06-02 19:35

Predator

Suffers from split brain

_DH schreef op maandag 16 februari 2009 @ 09:54:
[...]


Ah, dan ben ik niet helemaal duidelijk geweest, want ik verwacht namelijk wel een stateful failover. Synchronisatie tussen de beide nodes is dus zeker een vereiste. Wat ik bedoelde met VRRP is het volgende.

Je hebt verschillende opties die bepalen welke node in een cluster het verkeer afhandeld;
- het primary/secondary verhaal van een ASA/FWSM is helemaal een ramp en dat wil ik nooit meer
- een Nokia IPSO cluster met checkpoint draait wel, maar is niet mijn favoriete oplossing
- een VRRP voorkant voor 2 checkpoints is nog het meest deterministisch en beheersbaar in mijn optiek.


vandaar de wens voor VRRP als redundancy mechanisme, maar met sync op de achtergrond en stateful failover.
Ik was even vergeten dat jij de topicstarter was |:(
Ik was even niet meer mee. De 'zijn' moest 'jouw' zijn natuurlijk in mijn post. 8)7

Wat vind je slecht aan de Checkpoint ClusterXL oplossing ?
Ik vind dat het prima werkt. We hebben wel geen nokia boxes, maar resilience boxes.
Aparte inferfaces voor statetable synchronisatie, snelle failover, ...
Veel andere 'failover' fw kunnen daar een voorbeeld aannemen.

Slechte ervaringen gehad ?

PS: je zal zeker wel gelijk hebben ivm die juniper NSM hoor :)
Maar ik vond de webinterface zo gruwelijk dat zie die beter weglaten.
Als je ziet wat veel goedkopere oplossingen kunnen aanbieden van webinterfaces... of zelfs open source producten...
Wij gebruiken wel de juniper SA reeks, en dat is wel een deftige webinterface.
Die juniper FW staat bij een partner van ons.

[ Voor 13% gewijzigd door Predator op 16-02-2009 12:26 ]

Everybody lies | BFD rocks ! | PC-specs

maandag 16 februari 2009 14:53

Acties:

Verwijderd

De juniper web interface en NSM zijn natuurlijk niet te vergelijken. Een aparte management server kan veel meer dan een simpele interface die bij in een 15mb firmware image zit. Die web interface wordt voornamelijk gebruikt voor de kleinere modellen, waar een aparte management server overkill zou zijn.
Als je met een grote rulebase zit, is NSM echt wel aan te raden, zeker omdat je dan versions kan maken en betere comments op rules kan plaatsen.

NSM is veel meer dan enkel policy management. Je kan daarin de volledige config van de firewalls doen (dus ook alle netwerk settings en dergelijke), wat toch een serieus voordeel is. Als je meerdere toestellen hebt (bijvoorbeeld remote sites) zitten er pas echt veel extra handige features in. Heel krachtig, maar als je de interface voor het eerst ziet, kan het wel even verschieten zijn ;)

Dus ik zou toch zeker eens juniper uittesten, die voldoen aan al de vereisten die je had vermeld. Test het eens uit en maak zelf de vergelijking.
Qua hardware zit je eigelijk net op de grens. Voor 4G throughput en IDP zou ik eerder richting de SRX reeks kijken. Staar u vooral niet blind op de prijzen die je op het internet ziet circuleren, maar contacteer eens een juniper partner, die kunnen u wel iets interessant vertellen :)

maandag 16 februari 2009 14:54

Acties:
  • Fast_light
  • Registratie: December 2003
  • Laatst online: 24-07-2022

Fast_light

Wij hebben twee Fortigates in gebruik. T zijn redelijk te configureren apparaten maar als je echt site to site IPSEC VPN e.d. wil gaan gebruiken wordt het weer wat moeilijker. Voor het MKB raad ik ZyXel USG serie aan! erg betaalbaar en zeer makkelijk te configureren door middel van wizzards en stap voor stap handleidingen online! Bekijk deze online dummy config. page eens!

http://www.zyxel.com/guidemo/ZLD_v210/index.html

maandag 16 februari 2009 19:45

Acties:
  • tyrinian
  • Registratie: Juni 2001
  • Niet online

tyrinian

PolarBear schreef op zondag 15 februari 2009 @ 18:57:
[...]

Wij gebruiken Watchguards en al een jaar of 6 zonder problemen. Je zult voor product X altijd voor en tegenstanders vinden.

Wat ik wil adviseren is een RFI maken en gewoon naar een aantal leveranciers/partijen sturen. Niet alleen blind staren op initiële kosten, maar ook kijken naar onderhoud en SLA's. Zeker in deze tijd willen een groot aantal leveranciers wel een stapje harder doen om business binnen te halen.
Wij hebben 8 firewalls (Core-series) draaien. Hiervan zijn er al 2 terug gegaan vanwege hardwarestoringen. We hebben certificering op orde, maar toch is er altijd gehengst wanneer er een active/passive failover constructie gebouwd dan wel ge-update moet worden. We hebben behoorlijk in WG geïnvesteerd, maar volgens ons is de 'ability to deliver' niet helemaal in overeenstemming met de feature list van WG.

Daarnaast hebben we ook WG Edge firewalls voor branch offices. Na echt heel veel gedoe en 2 nieuwe updates werkte VoIP eindelijk, maar streaming media is nog steeds een issue, zelfs na het filen van 2 tickets bij WG, terwijl beide out of the box zouden moeten werken.

Vandaar dat bij ons de laatste WG geleverd is en we nu uitkijken naar Juniper. Ons dochterbedrijf heeft inmiddels 4 junipers draaien zonder ook maar één issue dat niet binnen 4h structureel verholpen is.

Maar goed, YMMV. Er zullen vast wel mensen zijn bij wie Juniper één groot drama is en WG als rode engels ontvangen hebben.

maandag 16 februari 2009 22:37

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 06-02 08:05

Kabouterplop01

chown -R me base:all

http://www.juniper.net/pr...lash_ipsec_vpn/index.html

dat zijn de products in het kort.

Die SRX-en zijn monsters. Voor dat geld zijn ze inderdaad state of the art. kaarten zijn aggregeerbaar tot 40Gb per kaart met DPI. Met speciale module kunnen ze zelfs antivirusfingerprints draaien.
40Gb wirespeed snelheid en DPI :9 Leuke firewall voor bijv de edge van een datacenter. een SRX is hier overkill ten top. En ... alles draait op een OS, Junos.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq