Beste collega's en bezoekers,

een jaar gebruik te hebben gemaakt van Basewall firewallss gaan wij deze voorgoed uit onze racks halen. Naar de veiligheidsnormen die wij willen nastreven voldoen deze helaas niet meer. Daarom zijn wij op zoek naar goede firewalls die in het verleden hun nut al bewezen hebben. Na het gebruiken van de zoekfunctie kwam ik één firewall tegen van D-link. Dit zei me wel iets, maar nergens is er nog informatie over te vinden en degene die ik vond was niet manageable en had een gebruikerslimiet.

Kunnen jullie deftige firewalls aanraden? (extern!!)

EDIT:

Prijs maakt niet zoveel uit, wil vooral een zo goed mogelijke beveiliging en waar het kan ook DDOS het wat lastiger maken om de hele hap plat te gooien.

Alvast bedankt!

Geef mij maar WatchGuard...
Gebruiken deze overal en heel tevreden over.

Wij hebben hier Cisco PIX hangen en die werken prima :). Een klant heeft een Juniper Netscreen hangen en was daar ook wel over te spreken, weet alleen niet hoe het zit met de prijs van die netscreens.

Wij hebben altijd zeer goede ervaringen gehad met de SOHO serie van WatchGuard voor Office gebruik maar erg slechte ervaring met de X-Core serie in het DC. Niets dan problemen mee gehad en voordat we ze in productie gingen gebruiken al weer terug gestuurd naar de leverancier.

We hebben nu Netscreens en die bevallen ons een stuk beter. Uitgebreidere opties tegen een iets hogere prijs, maar die hogere prijs is het dan ook wel waard. Netscreen ondersteunt bijvoorbeeld in de 25/50 serie al het gebruik van vlan's en dat kunnen die Watchguards niet. Geen lastige management software gewoon rechtstreeks met adminsite of cli op de netscreen. Bij de Watchguard is dat maar erg lastig.

Een Sonicwall, is dat niet wat?

Wij hebben altijd zeer goede ervaringen gehad met de SOHO serie van WatchGuard voor Office gebruik maar erg slechte ervaring met de X-Core serie in het DC. Niets dan problemen mee gehad en voordat we ze in productie gingen gebruiken al weer terug gestuurd naar de leverancier.


Kan je eens posten welke slechte ervaringen?
Misschien handig om te weten, ook voor ons al reseller.

Wij hebben altijd zeer goede ervaringen gehad met de SOHO serie van WatchGuard voor Office gebruik maar erg slechte ervaring met de X-Core serie in het DC. Niets dan problemen mee gehad en voordat we ze in productie gingen gebruiken al weer terug gestuurd naar de leverancier.

We hebben nu Netscreens en die bevallen ons een stuk beter. Uitgebreidere opties tegen een iets hogere prijs, maar die hogere prijs is het dan ook wel waard. Netscreen ondersteunt bijvoorbeeld in de 25/50 serie al het gebruik van vlan's en dat kunnen die Watchguards niet. Geen lastige management software gewoon rechtstreeks met adminsite of cli op de netscreen. Bij de Watchguard is dat maar erg lastig.

Op de website van Watchguard is bij bepaalde modellen wel VLAN's terug te vinden hoor... Maar bedankt voor de info, ik bekijk zeker ook de Netscreens dan.

De V-Class Watchguards hadden ondersteuning voor VLan's maar deze worden niet meer verkocht.

Wij hadden gekozen voor 2 stuks Watchguard X-Core 500 inclusief de upgrade naar Fireware Pro om alle ethernet interfaces enabled te hebben en om Active/Passive HA te hebben. Het ging bijna direct al mis doordat de licentie restrictie van de 500 je maar maximaal 100 regels mag hebben. Dit gaf problemen omdat alle firewall regels vermenigvuldigd werden met het aantal NAT translaties. Wij zaten ver over de 300 regels. Het duurde behoorlijk lang voordat we er achter kwamen dat het daar aan lag. Ik kon wel even op en neer rijden naar de leverancier om het te laten zien want die begrepen het niet echt. Uiteindelijk kregen we te horen van tech support in Amerika dat het een bestaand probleem was, en dat we een uitgebreidere licentie kregen.

Alles in de config verwerkt, getest etc. Op naar het datacentrum om daar de firewalls op te hangen. Toen de firewalls aangesloten waren en aangezet werden kregen we wel geteld 3 pings terug en daarna niets meer. Ze waren niet meer te benaderen, niet meer te managen en er kwam geen verkeer meer door heen.

De hele config leeg gegooid en opnieuw begonnen, maar dat werkte ook niet. Alles los gehaald en alle connecties (beide firewalls) aan 1 switch gehangen en toen hebben ze het even gedaan. Maar dat was van korte duur.

Uiteindelijk alles ingepakt en weer terug gestuurd naar de leverancier, die er ook geen raad mee wist. Ook in Amerika kwamen ze er niet uit. Dus hebben we uiteindelijk de firewalls gecrediteerd gekregen.

Onze gok was dat het iets te maken had met de hoeveelheid vlan's en spanning-tree op HP switches. We kregen het ook niet gereproduceerd buiten ons productie netwerk.

Al met al is ons vertrouwen in WatchGuard behoorlijk terug gelopen en hebben we de beslissing genomen om ook in de verkoop maar over te gaan op NetScreen.

Edit : Typo's

Heeft iemand toevallig ervaring met de Cisco ASA (http://www.cisco.com/en/US/products/ps6120/index.html) serie?

Vooral de 5520 en 5540 spreken mij wel aan.

Geoffrey, wat zijn je eisen voor de firewall? Hoeveel traffic?

Wij maken nu gebruik van Endian Firewall. Dat is open source software, op Linux, maar enorm stabiel en uitgebreid. Support kan je er bij kopen zodat je verzekerd bent van ondersteuning.

Wij hebben overigens Hotbrick/Basewall ook de deur uitgegooid. Teveel problemen.

Wij maken nu gebruik van Endian Firewall. Dat is open source software, op Linux, maar enorm stabiel en uitgebreid. Support kan je er bij kopen zodat je verzekerd bent van ondersteuning.

Ik heb een tijd geleden zitten stoeien met Endian, werkt op zich prima. Veel, érg veel mogelijkheden, en zeer eenvoudig uit te rollen en te configgen. Het is in mijn ogen een volledige turn-key oplossing.

Binnenkort maar eens uitrollen in het DC.

Opensource: Shorewall
Verder goede ervaringen met: Checkpoint-1 en Cisco Pix

Ik heb een tijd geleden zitten stoeien met Endian, werkt op zich prima. Veel, érg veel mogelijkheden, en zeer eenvoudig uit te rollen en te configgen. Het is in mijn ogen een volledige turn-key oplossing.

Binnenkort maar eens uitrollen in het DC.
Amen to that.

Wij waren ook zeer verbaasd over enerzijds de eenvoud en anderzijds de vele mogelijkheden. We hebben als tussen- en noodoplossing APF (based on iptables) gebruikt (Basewall/Hotbrick deed echt raar), maar dat was té hoog voor mijn collega. Endian leunt ook op IPtables maar is goed te managen en te monitoren.

Tot zover mijn evangelisatie ;)

Amen to that.

Wij waren ook zeer verbaasd over enerzijds de eenvoud en anderzijds de vele mogelijkheden. We hebben als tussen- en noodoplossing APF (based on iptables) gebruikt (Basewall/Hotbrick deed echt raar), maar dat was té hoog voor mijn collega. Endian leunt ook op IPtables maar is goed te managen en te monitoren.

Tot zover mijn evangelisatie ;)Ik kan het zo niet op de Endian site vinden, maar kan het ook in transparante modus werken?

Ziet er namelijk veelbelovend uit!

EDIT: Hmm dacht dat ik het gevonden had....

Ik kan het zo niet op de Endian site vinden, maar kan het ook in transparante modus werken?

Ziet er namelijk veelbelovend uit!
Je bedoelt dat deze in bijvoorbeeld een trace niet zichtbaar is?

Zo ja, dan ja. Hij draait bij ons transparant.

Heeft iemand toevallig ervaring met de Cisco ASA (http://www.cisco.com/en/US/products/ps6120/index.html) serie?

Vooral de 5520 en 5540 spreken mij wel aan.

Ik heb vandaag nog een ASA5510 geinstalleerd in het KPN CyberCenter. Zo'n ASA-appliance is de opvolger van de PIX-firewall. Op een PIX 515e kun je dezelfde IOS (7.21) draaien de je ook op zo'n ASA kunt draaien.

Concept een beetje vergelijkbaar met de nieuwe ISR routers van Cisco, dus modulair uitbreidbaar met allerlei leuke extras zoals SSL-VPN.

Je bedoelt dat deze in bijvoorbeeld een trace niet zichtbaar is?

Zo ja, dan ja. Hij draait bij ons transparant.Ja, dat bedoel ik.

Je hoeft dus niet met NAT te gaan werken achter die firewall? Je kan gewoon "externe" IP's gebruiken op je servers.

Ja, dat bedoel ik.

Je hoeft dus niet met NAT te gaan werken achter die firewall? Je kan gewoon "externe" IP's gebruiken op je servers.
Pfoe... jij gebruikt DA servers he? Vandaar dat je externe IP's nodig hebt.

Wij doen wel EXTERN IP <> FIREWALL <> INTERN IP maar dat is vooral omdat we het zelf handig vinden en geen control panels draaien. Voor wat ik gezien heb (maar ik heb het niet getest), zou het ook mogelijk moeten zijn om inderdaad extern IP te blijven gebruiken.

Ik zou zeggen, test het zelf even. www.endian.it.

Pfoe... jij gebruikt DA servers he? Vandaar dat je externe IP's nodig hebt.

Wij doen wel EXTERN IP <> FIREWALL <> INTERN IP maar dat is vooral omdat we het zelf handig vinden en geen control panels draaien. Voor wat ik gezien heb (maar ik heb het niet getest), zou het ook mogelijk moeten zijn om inderdaad extern IP te blijven gebruiken.

Ik zou zeggen, test het zelf even. www.endian.it.Klopt, maar sowieso vind ik NAT een ramp, met FTP enzo.

Ik vis wel even ergens een server vandaan en daar ga ik mee testen, het ziet er namelijk wel leuk uit :)

Eens kijken of zoiets ook redundant te maken is, dat je op elke uplink in je cabinet een firewall kan zetten, zo wordt je firewall ook geen SPOF.

Klopt, maar sowieso vind ik NAT een ramp, met FTP enzo.

Ik vis wel even ergens een server vandaan en daar ga ik mee testen, het ziet er namelijk wel leuk uit :)

Eens kijken of zoiets ook redundant te maken is, dat je op elke uplink in je cabinet een firewall kan zetten, zo wordt je firewall ook geen SPOF.
Wat betreft FTP kan ik je gerust stellen. Zet portje 21 open en zowel active als passive werkt gelijk.

Wat betreft FTP kan ik je gerust stellen. Zet portje 21 open en zowel active als passive werkt gelijk.Ok, dat is sowieso al mooi.

Maar ik heb toch liever helemaal transparantie, DA moet er achter werken, maar ik wil ook dat loadbalancing er achter kan werken.

Ok, dat is sowieso al mooi.

Maar ik heb toch liever helemaal transparantie, DA moet er achter werken, maar ik wil ook dat loadbalancing er achter kan werken.
Give it a try (en laat ons weten of je dat werkend hebt gekregen ;)).

Give it a try (en laat ons weten of je dat werkend hebt gekregen ;)).Ga ik zeker doen :)

Hallo,

Ik ben ook op zoek naar een firewall voor in een DC met daarachter hosting platform. Ik heb ervaring met Netscreen en Firewall-I. NetScreen is echt wel nice.

Nu, ik lees weinig of niets over performance (concurrent connections, VPN tunnels, throughtput,...) . Wat zijn de eisen die daaraan gesteld moeten worden? Ik merk bijvoorbeeld dat er ook SOHO routers worden gebruikt, maar zijn die wel geschikt op performance gebied?

bedankt

Wij hebben ervaring met Symantec (slechte ervaringen) en met Checkpoint (zeer goede ervaringen). Voor maximale betrouwbaarheid kan je Checkpoint best in cluster installeren. Kan op alle soorten hard- en software en is zeer performant, stabiel, veel features, ... perfect dus.
Licenties groeien mee met uw firma, dus da's niet direct een probleem.

Enig nadeel is misschien de prijs, maar dat was precies uw grootste zorg niet?
Reken toch op minstens 12500 Euro voor een cluster op 'normale' hardware.

Give it a try (en laat ons weten of je dat werkend hebt gekregen ;)).Ik heb het nog niet getest, dus daarom post ik ook niet.

Wat ik me alleen af vroeg, zijn er hier mensen die wel eens transparante firewalls met OpenBSD gebouwd hebben?

Ik wil namelijk af van alle iptables based firewalls aangezien ze wel leuk zijn, maar een Linux host is zo kwetsbaar als het maar kan tegen synflood attacks.

Nu kan BSD stukken beter overweg met synflood attacks en wil ik toch eens gaan testen met transparante OpenBSD servers als firewall.

Ik heb al naar diverse firewalls van Juniper en Cisco gekeken, maar als je echt veel traffic doet, dan gaan de prijzen ook aardig omhoog van een firewall.

Daarom wil ik eens gaan testen met transparante firewalls op basis van OpenBSD, alleen vroeg ik me af of er iemand is met ervaring daarmee?

Zo ja, wat zijn je ervaringen?

Geen ervaring, maar ik weet dat http://www.sentia.nl/ een eigen Firewall op basis van OpenBSD gemaakt heeft.

Daarom wil ik eens gaan testen met transparante firewalls op basis van OpenBSD, alleen vroeg ik me af of er iemand is met ervaring daarmee?

Zo ja, wat zijn je ervaringen?

Tot nu toe niet transparant gedaan (static routing via de routers, firewall als gateway laten werken voor de servers). Servers hebben dus gewoon hun extern IP staan, alleen in de traceroute zie je een hop van de firewall.
Werkt perfect, 100mbps zou geen probleem mogen zijn afh van de machine die je ervoor gebruikt.
Transparant (via bridging dus) gebruik je wel wat meer cpu dachtik, kwestie van proberen dus.

PF is een heel flexibele firewall, ratelimiting, queuing etc is ook helemaal geen probleem.

Zeker de moeite om eens mee aan de slag te gaan.

Ik weet dat snaaps erg tevreden is met zijn Juniper netscreen 500.
Neem eens contact op met hem.

Intressant topic, maar wat is nou het voordeel van een "hardware firewall" t.o.v. firewallsoftware op je servers? Misschien is het handiger voor meerdere servers, een centraal punt om te beheren, maar zijn er nog andere voordelen?

Intressant topic, maar wat is nou het voordeel van een "hardware firewall" t.o.v. firewallsoftware op je servers? Misschien is het handiger voor meerdere servers, een centraal punt om te beheren, maar zijn er nog andere voordelen?hardwarematige firewalls zijn vaak beter bestand tegen floods dan jouw Linux bak (*BSD is al een stuk beter).

Daarnaast tracken die hardwarematige firewalls veel meer, waardoor ongewenst verkeer sneller opgemerkt wordt.