Professionele firewalls

Wellicht kun je ook nog is kijken naar securepoint.
Volgens mij werken ze nauw samen met het duitse Wortmann AG Terra,

Je kunt ook nog kijken naar sonicwall, die de laatste tijd ook veel aan het verbeteren is. Daarnaast is er natuurlijk ook nog cisco.

Een goedkoop alternatief is unifi, maar die biedt wel wat minder NGFW mogelijkheden.

Schopje van NT naar PNS.

Het is mij onduidelijk wat je zelf al hebt onderzocht en tot welke shortlist je bent gekomen behalve Barracuda, Stormshield. Er zijn zo veel aanbieders; Fortinet, CheckPoint etc.

Kijk anders eens naar rapporten van Gartner of Forrester. Veel marketing blaat, maar dan weet je wel wat in de markt speelt:
https://www.forcepoint.co...erprise-network-firewalls

Overigens gebruiken wij voor onze (corporate) organisatie de Palo Alto's... erg knap speelgoed.

[ Voor 16% gewijzigd door Wish op 20-12-2017 09:04 ]

Wij hebben jaren lang stormshield (voorheen netasq) geleverd. Helaas is veel documentie hiervan alleen in het frans te vinden. De certificering hiervan stelde niet veel voor. Vragen waren slecht vertaald van frans naar engels of maar half vertaalt. Om deze reden werden veel vragen tijdens het examen beantwoord door de trainer.

Omdat we steeds meer vage problemen met de stormshield firewalls kregen (voornamelijk bij site-to-site IPSEC VPN) zijn we overgestapt op Fortigate firewalls. Tot nu toe nog niet veel op aan te merken, al is de logging hiervan wel minder dan die van de Stormshield.

In de categorie NGFW (google maar 'NGFW Gartner') doen wij alleen maar Fortinet. Erg tevreden over. Support is ook een stuk beter geworden de laatste tijd.
Ik dacht dat Tweakers ook (gedeeltelijk?) op Fortigate firewalls draait.

Veel goede verhalen gehoord over Palo Alto, maar daar heb ik zelf geen ervaring mee.

[ Voor 13% gewijzigd door Mark- op 20-12-2017 09:17 ]

Als ik nu alle firewalls bij ons zou mogen vervangen zou ik voor Palo Alto gaan. Nu een mix van Checkpoint, Juniper en Cisco.

Vooral de tooling van Palo Alto (Panorama) is geweldig.

Wij gebruiken PfSense en Ubiquiti. Ik snap dat je dan minder 'garanties' hebt als bovenstaande opties. Maar onze klanten zitten nog al op de centen, dus een firewall van een paar duizend komt er dan gewoon niet in.

Qua performance verder uitstekend hoor. Dus stabiel, snel en goedkoop.

Bij ons is dit jaar wereldwijd alles van Checkpoint naar Fortinet gegaan. Persoonlijk had ik graag Palo Alto gezien, maar ik heb niet bij de onderhandelingen gezeten.

Ik heb het idee dat we bij fortinet meer waar voor ons geld krijgen dan dat we dat bij Checkpoint deden.

Starck schreef op woensdag 20 december 2017 @ 09:46:
Wij gebruiken PfSense en Ubiquiti. Ik snap dat je dan minder 'garanties' hebt als bovenstaande opties. Maar onze klanten zitten nog al op de centen, dus een firewall van een paar duizend komt er dan gewoon niet in.

Qua performance verder uitstekend hoor. Dus stabiel, snel en goedkoop.

Ubiquiti is inderdaad mooi spul, maar mist nog wel wat enterprise features op hun firewalls. Maar goed, idd, voor "weinig" geld super goede hardware

Sneezydevil schreef op woensdag 20 december 2017 @ 09:46:
Bij ons is dit jaar wereldwijd alles van Checkpoint naar Fortinet gegaan. Persoonlijk had ik graag Palo Alto gezien, maar ik heb niet bij de onderhandelingen gezeten.

Ik heb het idee dat we bij fortinet meer waar voor ons geld krijgen dan dat we dat bij Checkpoint deden.

Fortigate is leuk spul, vergeet de FortiAnalyzer niet voor je logs

Ben thuis eens bezig geweest met sophos utm of xg firewalls. Voor home user kan je een gratis licentie krijgen. Leuke mogelijkheden. Vooral als je nog met kleine sub vestigingen werkt.
Niet veel ervaring hoe het zich verhoudt tot de andere merken.
Toegevoegd:
Vooral ook de integratie met de ap's werkt goed.
Nu gebruik ik thuis ubiquity maar in een andere situatie heb ik wel de sophos ap's gebruikt. Zeker de "langzame" varianten zijn bijzonder goed te betalen

[ Voor 30% gewijzigd door MeaMea op 20-12-2017 21:57 ]

Zoek je gewoon een firewall of iets met meer intelligentie? Ik lees voor klanten. Wil je beheer via de cloud kunnen, of alleen via een vpn tunnel oid op het device zelf? Wil je wel applicatie zichtbaarheid of niet? Wel of geen koppeling met iets van een AD, wel of geen live updates van bv blacklists / hashes / signatures? Wel of geen bescherming tegen de huidige gevaren ala mallware, ransomware etc etc etc. Wel of geen logging om in het geval van een besmetting te kunnen achterhalen waar het vandaan komt en waar het heen is gegaan. Lever je wel of geen beheer inclusief SLA en verantwoordelijkheden?

M.a.w. je toepassingsgebied is niet echt duidelijk.

Wij werken zelf uitsluitend met Cisco en Meraki. De laatste is met name voor het remote beheer uiteraard ideaal. Nadeel is dat troubleshooting wat minder CLI (lees: geen) mogelijkheden heeft. Maar goed, dat ben je in principe ook niet echt nodig bij normaal gebruik.

Prijzen beginnen bij ong €400,- voor een ASA5506 en de sky is the limit qua bovenkant

Deze 2 voldoen ruim aan de door jou gestelde eisen.

Palo Alto is natuurlijk leuk spul, maar zal w.s. voor het MKB al snel te duur zijn. Sophos lijkt daar dan wel weer een mooi product voor en ook meer in opkomst te komen. Bij Meraki blijft ik het nadeel vinden (tenzij Cisco dat inmiddels aangepast heeft) dat je zowel voor aanschaf betaald alsmede een abonnement nodig hebt om de apparatuur werkend te houden, imho behoort dat een van beide te zijn of aanschaf en eventueel support als keuze of een abonnementsdienst waarbij je de apparatuur als dienst afneemt.

En dan heb je nog de spelers als Watchguard, Juniper, Sonicwall, Fortinet, Cisco die je ook nog wel vrij regelmatig tegen kan komen in het MKB is mijn ervaring.

Ligt er aan wat je zoekt: application firewalling, performance, multi site opzet, VPN, etc..

FortiGate is een zeer goede prijs/prestatie verhouding wat betreft throughput. Beheer is vrij makkelijk, maar het feit, dat je geen commit/save opties hebt (gelijk actief) kan wat lastig zijn. Pas op met support van oudere modellen. Hun 24x7 voorraad is zeer beperkt. Nederlandse leveranciers halen vaak daarom extra spares voor bij hen op de plank.

Cisco is leuk voor kleinere omgevingen, maar throughput is niet je van het, zeker niet qua kosten. Ben van huis uit Cisco guy, maar naar mijn idee laten ze het op alle vlakken (zowel software als hardware) liggen. Wel leuk wat betreft Firepower, maar daar biedt PaloAlto meer value. Voor VPN zou ik wat betreft Cisco eerder voor een HA router setup gaan, stateful failover veel beter, en goedkoper.

Ook PaloAlto is niet bepaald goedkoop, maar in geval van meerdere locaties, central management (Panorama) en koppeling met virtuele omgeving (VMware NSX) erg veelzijdig en zeer fijn te managen. Zijn cursussen/certificeringen voor (uiteraard), maar is vrij makkelijk op te pakken. Alleen het zelf creeeren van AppIds tbv application filtering is een redelijk lasting gebeuren. Naar mijn idee heeft PA pas echt meerwaarde bij multi site omgevingen. Support kan een drama zijn, alles via de support partner, ook hardware vervangingen bij bekende hardware failures (net als Cisco overigens).

NetScreen heft waarschijnlijk zo zijn krachten, maar ik heb ze nog niet kunnen ontdekken. Beheer sucks, wazige foutmeldingen alom.

Watchguard blijf ik persoonlijk ver van. Single site OK, maar zeker in combi met andere merken in je/partner network (bv VPN) is het vragen om problemen.

[ Voor 4% gewijzigd door PiOn op 21-12-2017 00:48 ]

Voor een KMO / MKB kun je eens kijken naar sophos UTM. Moet zeggen dat er erg veel features inzitten. Een complete doos voor relatief weinig geld. Je kan er ook voor kiezen om deze virtueel te draaien.

Mocht je er meerdere hebben staan dan kun je ze ook met 1 centrale management tool beheren: SUM.

Mark- schreef op woensdag 20 december 2017 @ 09:13:
In de categorie NGFW (google maar 'NGFW Gartner') doen wij alleen maar Fortinet. Erg tevreden over. Support is ook een stuk beter geworden de laatste tijd.
Ik dacht dat Tweakers ook (gedeeltelijk?) op Fortigate firewalls draait.

Veel goede verhalen gehoord over Palo Alto, maar daar heb ik zelf geen ervaring mee.

Wij hebben inderdaad twee 800C en een 300D firewalls van Fortinet draaien. Het doet wat het moet doen, maar ik ben er niet heel erg tevreden mee; voor een volgende firewall ga ik wel wat meer eisen hebben.

Nozzie schreef op woensdag 20 december 2017 @ 09:07:
Wij hebben jaren lang stormshield (voorheen netasq) geleverd. Helaas is veel documentie hiervan alleen in het frans te vinden. De certificering hiervan stelde niet veel voor. Vragen waren slecht vertaald van frans naar engels of maar half vertaalt. Om deze reden werden veel vragen tijdens het examen beantwoord door de trainer.

Omdat we steeds meer vage problemen met de stormshield firewalls kregen (voornamelijk bij site-to-site IPSEC VPN) zijn we overgestapt op Fortigate firewalls. Tot nu toe nog niet veel op aan te merken, al is de logging hiervan wel minder dan die van de Stormshield.

In een grijs verleden ben ik eens bij een NetASQ Partner summit geweest in Parijs. Er waren twee sessies die je kon volgen: Voor Frans- en voor Engelssprekenden. Dat Engels was overigens "Allo, allo" Engels. Na twee dagen ben je daar goed klaar mee.. Gedetailleerde documentatie was idd. regelmatig in het Frans. Mooie producten, jammer van de organisatie.

Als je gedetailleerde policies wil kunnen maken, zou je naar een ASA5506 t/m ASA5516 kunnen kijken met FTD image. Dit universal image vervangt de oude ASA (Cisco) en Firepower (Sourcefire) images die je op ASA's kan/kon draaien. Je kan ze grafisch beheren via de Firethread Device Manager. (HTML5 webgui, welke de ASDM vervangt.. eindelijk.) Voor grotere omgevingen kan je de Firepower Management Center gebruiken. (Fysiek, of virtueel)

Voor MKB / KMO omgevingen heb je echter niet veel nodig aan uitgebreide policies. In dat geval kan je naar Cisco Meraki MX appliances kijken. Als je het serienummer of sales order nummer weet, kan je dit in het dashboard laden en al je configuratie maken. (Of clonen van een bestaand netwerk, of via een template.) Zodra de MX contact heeft met internet, krijgt hij z'n configuratie gepusht. Daardoor kan je met weinig mensen, toch veel klanten beheren. Meraki MX is echter een UTM, dus gedetailleerde policies zijn lastig. Bij Meraki kan je evaluatie spullen aanvragen. Cisco ASA's zijn lastiger te regelen, maar een aantal distributeurs doen proof-of-values / PoV.

PiOn schreef op donderdag 21 december 2017 @ 00:46:
Cisco is leuk voor kleinere omgevingen, maar throughput is niet je van het, zeker niet qua kosten. Ben van huis uit Cisco guy, maar naar mijn idee laten ze het op alle vlakken (zowel software als hardware) liggen. Wel leuk wat betreft Firepower, maar daar biedt PaloAlto meer value. Voor VPN zou ik wat betreft Cisco eerder voor een HA router setup gaan, stateful failover veel beter, en goedkoper.

Bovenkant van de markt (ASA5525 en hoger) zie ik vervangen worden door de nieuwe FP4100 appliances waar de performance veel beter van is. Onderkant van de markt zie ik Meraki MX gebruikt worden. Een instap model MX64 doet 200Mbps en dat is vaak al voldoende.

In Nederland zijn de internetlijnen vrij goed en goedkoop, maar ik weet een bedrijf die miljoenen heeft kunnen besparen door hun dure MPLS lijnen eruit te gooien en verkeer te load balancen over consumer-grade lijnen. Dingen als packet-loss, jitter en MOS score kan je dan gebruiken om verkeer via ISP A of B te sturen. Niet alleen Voice / SIP verkeer, maar via L7 visibility ook Skype bijvoorbeeld. Met het toenemend gebruik van clouddiensten is uptime van internetlijnen steeds belangrijker.

Dennism schreef op woensdag 20 december 2017 @ 23:42:
Bij Meraki blijft ik het nadeel vinden (tenzij Cisco dat inmiddels aangepast heeft) dat je zowel voor aanschaf betaald alsmede een abonnement nodig hebt om de apparatuur werkend te houden, imho behoort dat een van beide te zijn of aanschaf en eventueel support als keuze of een abonnementsdienst waarbij je de apparatuur als dienst afneemt.

Veel bedrijven hebben hun infrastructuur in de cloud draaien of hebben klantengegevens in de cloud. Als een Azure, AWS, Afas, etc. failliet gaat, kan je als bedrijf ook wel inpakken. Met de nieuwe Cat9k switches en Cisco ONE licentie structuur gaat Cisco ook voor Cisco classic naar een abonnement structuur. Als Meraki licenties verlopen krijg je daar uitgebreidt bericht van. Als je een maand nodig hebt om nieuwe licenties te regelen, doet Meraki support daar ook niet moeilijk over. Maar het houdt natuurlijk een keer op.

Veel partners zie ik Meraki gebruiken in combinatie met Cisco Easylease en 3 jarige licenties. De hardware is dan van de Lage Landen. Met Easylease moet 70% Cisco zijn, maar 30% kan iets anders zijn / 3rd parties. (Of je eigen installatie uren.) Je betaald dan een fixed bedrag per maand met 0% rente. Dit kan gefactureerd worden aan de eindklant of aan de partner. Bij meer dan 2,5 ton worden er aparte contracten gemaakt via Cisco Capital. Partners gebruiken dit om wifi-as-a-service, security-as-a-service, datacenter-as-a-service, etc op te zetten. Nu moet nog 10% hardware zijn, maar ik verwacht dat dit in de toekomst aangepast gaat worden, omdat veel dingen subscriptions worden.

Punt is alleen dat firewalls steeds minder boeiend worden. Applicaties draaien in de cloud (dus steeds minder lokale servers) en users werken overal, behalve op kantoor.. Endpoint bescherming wordt steeds belangrijker. Cisco Meraki support geen HTTPS decryption, Cisco ASA doet dit wel. Maar het is wel een lastig verhaal, want je gaat als man-in-the-middle er tussen zitten en verbreekt daarmee de trust tussen de client en de online server. Via Facebook of GMail (HTTPS) kan je makkelijk malware binnen vissen, direct op het endpoint.

Met AMP for Endpoints kan je het gedrag van malware op endpoints monitoren en malware automatisch opschonen. Een SHA-hash van bestanden worden vergeleken in de cloud of het malware is. Verder kijkt het naar het gedrag van bestanden. Het werkt niet via signatures van klassieke antivirus oplossingen. AMP for Endpoints integreerd ook met AMP voor ASA en Meraki MX security appliances.

Als aanvulling hierop kan je kijken naar bescherming op DNS niveau via Cisco Umbrella (OpenDNS). Op firewalls kan je dit eenvoudig configureren door 2 IP adressen in te stellen als DNS servers. Wil je ook inzichtelijk hebben users, welke malware downloaden dan moet je een lichtgewicht client uitrollen die user gegevens meestuurt.

Key exchange van ransomware gebruikt vaak dynamisch gegenereerde DNS adressen, omdat IP adressen makkelijk te blokkeren zijn. Dit geld ook voor Bot --> Botmaster communicatie van malware / botnets. Natuurlijk kun je met Umbrella ook URL filtering doen, maar dat is eigenlijk bijzaak.

Als budget een issue is, zou ik eerder kijken naar een kale firewall en goede endpoint bescherming, dan brakke endpoint bescherming en een uitgebreide Next-Gen Firewall.

Ik word redelijk blij van de firewalls van Fortinet, genaamd Fortigate. Kleinere modellen zeker geschikt voor kleinere organisaties. De UI vind ik prettig inuitief en of je nu het kleinste of het grootste model hebt, het werkt allemaal hetzelfde. (Grotere modellen zijn uiteraad wel sneller en hebben meer poorten, maar de GUI en mogelijkheden wijken in principe niet af.)

Heb je nu vanuit je eigen onderzoek al een lijst samengesteld voor voordelen en nadelen? En of ze wel voldoen aan de bovenstaande eisen?

Mijn inziens hoort product onderzoek wel in het businessplan thuis

vanisher schreef op vrijdag 22 december 2017 @ 06:42:
Heb je nu vanuit je eigen onderzoek al een lijst samengesteld voor voordelen en nadelen? En of ze wel voldoen aan de bovenstaande eisen?

Mijn inziens hoort product onderzoek wel in het businessplan thuis

Sowieso.
Begin met een longlist, maak daar een shortlist van en doe een PoC.
Praat met leveranciers (niet alleen met ons) en laat je adviseren.

Maak daarna van de top 3 kandidaten ook een fatsoenlijke financiële doorrekening. Aanschafprijs is 1 ding, maar je moet kijken naar de TCO van die dingen. Dat is wat eindklanten belangrijk vinden. Leuk als je een mooie doos van €500 vind maar als die over 5 jaar €1000 duurder is dan de doos van €1000 is het alsnog financieel een minder aantrekkelijk ding.

Oh, en doe die PoC met je eindklanten. Zoek er een paar uit die het leuk vinden mee te doen aan een PoC en neem ze mee in het proces. Zorg dat ze invloed hebben op de keuze. Het kan zomaar zijn dat wat jij een prima oplossing vind, zij compleet shite vinden.

[ Voor 13% gewijzigd door unezra op 22-12-2017 08:20 ]

unezra schreef op donderdag 21 december 2017 @ 20:08:
Ik word redelijk blij van de firewalls van Fortinet, genaamd Fortigate. Kleinere modellen zeker geschikt voor kleinere organisaties. De UI vind ik prettig inuitief en of je nu het kleinste of het grootste model hebt, het werkt allemaal hetzelfde. (Grotere modellen zijn uiteraad wel sneller en hebben meer poorten, maar de GUI en mogelijkheden wijken in principe niet af.)

Ik blijf er een beetje mixed feelings over houden, onwijs veel geklooi met Fortigates gehad op t gebied van dat de lokale flash overleed (en na een reboot doen ze dan niet veel meer) een klant zit nu in totaal aan 80C nummer 7 en 8 (nummers 1 tmt 6 zijn allemaal met een defecte storage retour gegaan) en dat is heel fijn als nummertje 6 reboot en nummer 5 2 weken eerder stuk was gegaan (maar door config fout er geen alert kwam) dan heb je gewoon niets meer (en fortinet blijft dan een stugge toko die zegt "geen advanced replacement, stuur de meuk maar eerst op"

Wat dan wel, ik weet t ook nog niet, vond Sophos UTM wel fijn, maar dat word een beetje verlaten voor XG, maar die vond ik dan weer wat puntjes missen.

De enige wensen die ik heb voor het gross van mijn klanten is gewoon een simpele firewall die iets meer kan als een Draytek en een makkelijke VPN functie heeft (pptp is t toch niet meer in 2017 zullen we maar zeggen) maar vind t toch nog wat rommelig.

Powermage schreef op vrijdag 22 december 2017 @ 09:35:
[...]
Ik blijf er een beetje mixed feelings over houden, onwijs veel geklooi met Fortigates gehad op t gebied van dat de lokale flash overleed (en na een reboot doen ze dan niet veel meer) een klant zit nu in totaal aan 80C nummer 7 en 8 (nummers 1 tmt 6 zijn allemaal met een defecte storage retour gegaan) en dat is heel fijn als nummertje 6 reboot en nummer 5 2 weken eerder stuk was gegaan (maar door config fout er geen alert kwam) dan heb je gewoon niets meer (en fortinet blijft dan een stugge toko die zegt "geen advanced replacement, stuur de meuk maar eerst op"

Dan heb je bovenmatig veel pech. Wij gebruiken die spullen nu een jaar of 4 en natuurlijk is er wel eens wat fout gegaan, maar niet in die mate die jij beschrijft.

Wel hebben we de nodige supportcontracten op die dingen. 24/7 dus. De extra kosten wegen ruim op tegen de risico's die we lopen.

Op 1 plek (kantoor) hebben we een HA cluster van 2 90D's staan. Op onze beide colocaties (we hebben alle apparatuur buiten de deur) staan enkel uitgevoerde 240D's. Daar willen we heel graag naar een HA setup maar op dit moment krijg ik daar het budget niet voor. Dus da's een known risk en gegarandeerd dat zodra het een keer goed mis gaat, er opeens wél budget is.

Maar goed, op support moet je dus niet bezuinigen.

Verder heb ik met die 4 firewalls die we nu een jaar of 4 hebben, nog nóóit gehad wat jij beschrijft.

Wat dan wel, ik weet t ook nog niet, vond Sophos UTM wel fijn, maar dat word een beetje verlaten voor XG, maar die vond ik dan weer wat puntjes missen.

De enige wensen die ik heb voor het gross van mijn klanten is gewoon een simpele firewall die iets meer kan als een Draytek en een makkelijke VPN functie heeft (pptp is t toch niet meer in 2017 zullen we maar zeggen) maar vind t toch nog wat rommelig.

Tja. Dan is een Fortigate toch wel een heel serieuze optie.
De apparaten zijn relatief betaalbaar en ze zijn universeel. Of je nu een 30E hebt of een 240D, de UI is exact gelijk. Heel handig als TS klanten met qua capaciteit en budget heeft en dus verschillende oplossingen bij klanten neer wil zetten zonder meteen in afwijkende UI's te komen.

Ik weet niet hoe dat bij andere firewalls is, misschien dat daar ook wel vergelijkbare UI's zijn. Het is vind ik een van de grote voordelen van FortiGate. (En een 240D is nog een kleintje. Ook de grotere units hebben exact hetzelfde OS, dezelfde UI. Alleen veel meer poorten en hogere doorvoersnelheden.)

EDIT:
Je zou ook eens kunnen kijken naar dit:
https://www.applianceshop...0-dual-core-ssd-rack.html

OPNSense appliance. Kan volgens mij ook heel veel. (Al heb ik me in de firewall functionaliteit nog niet echt verdiept. We gebruiken op kantoor een pfsense, straks OPNSense doosje als DHCP server en DNS recursor maar ik hoor echt héél goede geluiden over pfsense en OPNSense.)

[ Voor 8% gewijzigd door unezra op 22-12-2017 10:11 ]

Ik denk dat we er op t hoogtepunt een stuk of 25 bij klanten hadden staan, maar het flash probleem hebben we ook bij de 60 en 40 series gehad helaas....
dus ondanks dat t best aardige dingen zijn heb ik gewoon een beetje een vertrouwensprobleem met ze ;-)

Powermage schreef op vrijdag 22 december 2017 @ 13:57:
Ik denk dat we er op t hoogtepunt een stuk of 25 bij klanten hadden staan, maar het flash probleem hebben we ook bij de 60 en 40 series gehad helaas....
dus ondanks dat t best aardige dingen zijn heb ik gewoon een beetje een vertrouwensprobleem met ze ;-)

Snap ik. Het verbaasd me vooral.

We hebben 4 van die dingen in huis (2x 240D en 2x 90D) en ik heb er echt nog nooit problemen mee gehad terwijl ze 4 jaar 24/7 draaien. (Nja, wel eens issues maar dat bleef beperkt tot een nieuwe firmware met bugs.)

Privé heb ik nog 2 100D's. Nog niet heel erg intensief gebruikt, 1 heeft op in het datacenter een maandje gedraait om de lijnen en locatie te testen. (Ik heb ze uitgeleend aan mijn werkgever, het zijn mijn 100D's.) Deed eht ook prima.

Maar ik weet dus niet in hoeverre de 40's en 60's kwalitatief minder zijn dan de 90D's, 100D's en 240D's waar ik persoonlijk ervaring mee heb.

Powermage schreef op vrijdag 22 december 2017 @ 09:35:
[...]


Ik blijf er een beetje mixed feelings over houden, onwijs veel geklooi met Fortigates gehad op t gebied van dat de lokale flash overleed (en na een reboot doen ze dan niet veel meer) een klant zit nu in totaal aan 80C nummer 7 en 8 (nummers 1 tmt 6 zijn allemaal met een defecte storage retour gegaan) en dat is heel fijn als nummertje 6 reboot en nummer 5 2 weken eerder stuk was gegaan (maar door config fout er geen alert kwam) dan heb je gewoon niets meer (en fortinet blijft dan een stugge toko die zegt "geen advanced replacement, stuur de meuk maar eerst op"

Doe je (of de klant) veel aan local disk logging? Voor zover ik weet is het namelijk een best practice om dat niet te doen op Fortigates die geen HDD/SSD storage hebben maar nog een soort van SD kaart achtige variant van local storage gebruiken. Het continu (over)schrijven van logs is niet goed voor dat soort storage.

Dennism schreef op zaterdag 23 december 2017 @ 15:27:
[...]


Doe je (of de klant) veel aan local disk logging? Voor zover ik weet is het namelijk een best practice om dat niet te doen op Fortigates die geen HDD/SSD storage hebben maar nog een soort van SD kaart achtige variant van local storage gebruiken. Het continu (over)schrijven van logs is niet goed voor dat soort storage.

Kregen die opmerking ook idd, maar nee.
Overigens dan nog, als de hardware t niet aan kan, maak zoiets niet mogelijk (of maar tijdelijk, of met grote warning) of waarschuw je klanten er beter mee.

Ik ben sinds kort groot fan van Clavister. Deze firewalls kunnen alles wat je beschrijft en hebben zeer prettige management software. Er zit een SDK bij waarmee je ook je eigen koppelingen kan leggen.

Ik vind het vooral cool dat ze erg security minded zijn; men bied aggregated VPN (pakketen worden met verschillende encryptie over verschillende lijnen verzonden) en een OS dat 100% zelf geschreven is. Ze garanderen dat er geen backdoor in zitten. Het is een Zweedse club dus ook geen NSA bemoeienis

Support is ook zeer kundig.

Als het goedkoop moet zijn zou je naar MikroTik kunnen kijken. Dit zijn eigenlijk routers maar hebben ook firewall capaciteiten aan boord.