Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dimensionierung Hardware Firewall

Mitglied: godlie

godlie (Level 2) - Jetzt verbinden

14.05.2018 um 21:24 Uhr, 1002 Aufrufe, 12 Kommentare

Hallo,

ich bin auf der Suche nach einer Hardware Firewall Ersatz.
Folgendes ist derzeit vorhanden und ist etwas "angestaubt"

Fortigate 60C an einer 8M/1M DSL Line

Jetzt ist als neuer Zugang eine nettes Glas ins Haus gekommen (150/50M ).
Folgendes sollte die FW bewerkstelligen:

Den gewünschten Downstream von 150M wuppen, ein Traffic Shaping auf einen / mehreren LAN-Ports.

Ich hab mir jetzt ein paar Gerätschaften angeschaut, aber bin bezüglich dem Throughput nicht ganz sicher.

Was mir nicht so schlecht einleuchtet wäre eine ZyXEL USG60.

Wobei ich bei meinen Recherchen auch über folgendes gestolpert bin Allied Telesis AR2050V
bei letzterem bin ich mir aber nicht so sicher, da ich keine Site-to-Site VPN benötige aber ich denke die würde ja meinen Ansprüchen auch genüge tun.

Dank und Gruß
Mitglied: em-pie
14.05.2018 um 21:50 Uhr
Moin,

Die Frage ist ja nicht nur, was du an brutto-Datentraffic da bewegt werden will, sondern, welche Dienste du auch mit wie vielen Usern betreiben möchtest. Es macht ein Unterschied, ob 50 Leute in Foren rumstöbern oder 5 Leute sich 4k-Video-Material permament streamen, während 20andere einen VPN-Tunnel mit Druckdaten- durch die Leitung feuern (alles ein wenig überspitzt formuliert).

Und muss das Gerät irgednwie mit SIP klarkommen, oder gibt es dafür eine dedizierte Anlage?

Was ist zudem dein Budget?
Welches Modem wird seitens deines ISP bereitgestellt?

Ohne diese Angaben wird es etwas schwieirig, aber ich schmeiße dennoch mal eine pfSense mit einem APU2C4-Board in den Raum.
mit 3x 1G und 4GB RAM sowie einer 1GHz CPU hat die schonmal etwas auf dem Kasten. Ne SSD daran und auch ein Proxy kann da zügig cachen, neben den ganzen Log-Einträgen o.Ä.

Gruß
em-pie
Bitte warten ..
Mitglied: godlie
14.05.2018, aktualisiert um 22:00 Uhr
Hallo,

also auf dieser Leitung passiert nicht viel, da kommen vorwiegend Filmdaten für ein Kino rein ( kein Streaming ) und ein bisschen was vom Reservierungssystem geht raus.

Max. 5 Benutzer die Filminformationen aufrufen, oder "Zeitunglesen" online. Also kein Heavy Load.

Es ist vorgesehen das für diese Benutzer auch nur max. 5M bereit stehen sollen, der Rest soll für den "FilmDownload" bereitstehen.

Kein SIP, keine dauernde VPN ( nur bei Bedarf im Supportfall )

Budget tja das alte Lied.... ~500 EUR mehr wird sich da nicht durchboxen lassen.

Das Modem Modell hab ich jetzt grad nicht parat, muss ich morgen mal nachsehen.

Ich hab auch schon über einen PC Engines APU3C4 nachgedacht, aber ich bin mir da bzgl. der Kühlung nicht klar.
Bitte warten ..
Mitglied: Th0mKa
14.05.2018 um 23:51 Uhr
Zitat von godlie:

Folgendes sollte die FW bewerkstelligen:
Den gewünschten Downstream von 150M wuppen, ein Traffic Shaping auf einen / mehreren LAN-Ports.

Wenn das deine einzigen Kriterien sind kannst du die 60c auch lassen, reines Firewalling kann die in Wirespeed mit 1GB/s.
Warum willst du die Fortigate denn ersetzen?

/Thomas
Bitte warten ..
Mitglied: sk
15.05.2018 um 00:08 Uhr
Zitat von Th0mKa:
Wenn das deine einzigen Kriterien sind kannst du die 60c auch lassen, reines Firewalling kann die in Wirespeed mit 1GB/s.
Warum willst du die Fortigate denn ersetzen?
/Thomas

Ich antworte mal frecher Weise statt des TO:
1) die fest vordefinierten WAN- und DMZ-Ports der 60c können nur 10/100 MBit/s - er hat aber 150 MBit/s im Downstream...
2) die 60c müsste mittlerweile End of Support sein. Bedeutet u.a. dass es irgendwann keine Firmwareupdates dafür mehr gibt...

Gruß
sk
Bitte warten ..
Mitglied: Th0mKa
15.05.2018 um 00:13 Uhr
Zitat von sk:
Ich antworte mal frecher Weise statt des TO:
1) die fest vordefinierten WAN- und DMZ-Ports der 60c können nur 10/100 MBit/s - er hat aber 150 MBit/s im Downstream...
Es gibt bei Fortinet keine fest definierten Ports, alle Ports könnnen frei definiert werden. An der Beschriftung muß man sich ja nicht stören. Man stellt den Switch auf Interface Mode , hat 5 frei definierbare Gigabitports und los gehts.
2) die 60c müsste mittlerweile End of Support sein. Bedeutet u.a. dass es irgendwann keine Firmwareupdates dafür mehr gibt...
erst 2022

/Thomas
Bitte warten ..
Mitglied: godlie
15.05.2018 um 01:25 Uhr
Der Auftraggeber will die Fortigate nicht mehr in seiner Struktur haben, da sie des öfteren einfach mal die Arbeit einstellt, hat auch schon einige Jahre am Buckel.
Bitte warten ..
Mitglied: sk
15.05.2018 um 01:33 Uhr
Zitat von Th0mKa:
Es gibt bei Fortinet keine fest definierten Ports, alle Ports könnnen frei definiert werden. An der Beschriftung muß man sich ja nicht stören. Man stellt den Switch auf Interface Mode , hat 5 frei definierbare Gigabitports und los gehts.

Ok. Das wusste ich noch nicht. Die kleinste Forti, die wir im Einsatz haben, ist eine 300er. Und da gib es in der Tat keine vordefinierten WAN-Ports.
Kenne das ansonsten z.B. von Zyxel - da sind bei den kleineren Modellen künstliche Restriktionen eingebaut, damit man bei erhöhten Funktionsanforderungen die unrestriktierten teureren Modelle kauft. Aber auch hier lassen sich die Restriktionen der kleinen Modelle mit etwas Hintergrundwissen zumindest teilweise leicht umschiffen...


2) die 60c müsste mittlerweile End of Support sein. Bedeutet u.a. dass es irgendwann keine Firmwareupdates dafür mehr gibt...
erst 2022

Aber nur noch Securtiyfixes bzw. Pflege der "alten Entwicklungszweige", oder? FortiOS 6 scheint es jedenfalls für die 60c nicht mehr zu geben...


Gruß
Steffen
Bitte warten ..
Mitglied: sk
15.05.2018, aktualisiert um 02:03 Uhr
Zitat von godlie:
Der Auftraggeber will die Fortigate nicht mehr in seiner Struktur haben, da sie des öfteren einfach mal die Arbeit einstellt, hat auch schon einige Jahre am Buckel.

Und ist der Boden für eine neue Fortigate "verbrannt" oder kommt auch ein Nachfolgemodell in Frage?

Das Schöne bei Fortinet ist ja, dass sie vieles performanter als andere abwickeln können, weil sie es auf spezialisierten ASICs machen, statt auf der oder den CPU(s).

Ansonsten nochmal zur Duchsatzanforderung:
Es ist ein Unterschied, ob Du den Traffic lediglich "klassisch" bis Layer 4 beregeln und ggf. noch den HTTP(S)-Traffic filtern willst oder ob Du z.B. Gateway-AV oder IDP benötigst. Richtig anspruchsvoll wird es spätestens bei reiner Applikationsbasierter Steuerung. Die von Dir z.B. als Alternative herausgesuchte USG60 von Zyxel hat mit dem reinen SPI-Durchsatz sicherlich kein Problem (auch wenn die im Datenblatt angegebenen Laborwerte mit den Praxiswerten nicht viel gemein haben) - sobald Du jedoch z.B. AV oder IDP auf den Traffic los lässt, bricht das Teil massiv ein. Da sollte es dann schon mindestens eine USG110 sein.
Die Frage ist also: Wie tief möchtest Du in den Traffic reinsehen können? Für ein bisschen SPI-Firewalling tut es auch ein Mikrotik HEX für 45 EUR Endkundenpreis...

Gruß
sk
Bitte warten ..
Mitglied: Th0mKa
15.05.2018 um 05:53 Uhr
Zitat von godlie:

Der Auftraggeber will die Fortigate nicht mehr in seiner Struktur haben, da sie des öfteren einfach mal die Arbeit einstellt, [...]
Und was sagt Fortinet dazu? Ansonsten kann man z. B. eine Fortigate 50E nehmen, die erfüllt alle deine Anforderungen. Der von dir angedachten AR2050V ist ja eher ein Router, da tut es wirklich jauch eder andere Semipro-Router wie z. B. der schon genannte von Mikrotik für 10% des Preises.
Bitte warten ..
Mitglied: aqui
15.05.2018 um 08:58 Uhr
Für ein bisschen SPI-Firewalling tut es auch ein Mikrotik HEX für 45 EUR Endkundenpreis...
Oder ein APU Board mit ner pfSense:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: godlie
15.05.2018 um 09:55 Uhr
Fortinet sagt dazu nicht mehr viel, da keine Subscription mehr besteht ( wurde vom Auftraggeber einfach mal so gekündigt..... ).

@aqui
Ja die APU Boards gefallen mir auch recht gut, ich hab mir das APU3C4 angesehen sieht eigentlich sehr nett aus.
Gibt es eig. einen großen Unterschied zwischen pfSense und openSense ?

Dank und Gruß
Bitte warten ..
Mitglied: Th0mKa
15.05.2018 um 13:40 Uhr
Zitat von godlie:
Gibt es eig. einen großen Unterschied zwischen pfSense und openSense ?

OPNsense enthält lt. eigenen Aussagen nur noch 10% des Codes von PFSense, der Rest wurde neu entwickelt um ein paar alte Zöpfe abzuschneiden. Ansonsten ist wohl der Hauptunterschied das es bei OPNsense keine Community Packete gibt, man hat also nur das was im Release drin ist. Mir persönlich gefällt der time base Relasezyklus von OPNsense besser als die feature based Releases von PFsense, aber das ist wohl eher Geschmacksfrage.

/Thomas
Bitte warten ..
Ähnliche Inhalte
Vmware
VMWare Dimensionierung
gelöst Frage von OliverWVmware17 Kommentare

Hallo, Ich plane gerade einen neuen Server anzuschaffen. Angedacht war auf diesem System mit VMWare zu virtualisieren. Ein Windows ...

Server-Hardware

Dimensionierung des Virtualisierungshostes

gelöst Frage von keine-ahnungServer-Hardware11 Kommentare

Moin miteinand, ich habe mal wieder keine-ahnung! Problem 1: ich muss einen floor-stand-Server aus dem Rennen nehmen. Ich brauche ...

Server-Hardware

Dimensionierung SQL Server

gelöst Frage von greatmgmServer-Hardware11 Kommentare

Guten Morgen zusammen, ich will eine Umgebung testen, in der ich die lokalen SQL-Server von 4 Standorten in einen ...

CPU, RAM, Mainboards

Virtualisierung Erstversuch - Dimensionierung der Komponenten

Frage von pd.edvCPU, RAM, Mainboards22 Kommentare

Hallo, derzeit haben wir bei uns in der Firma folgende 3 Rechner als "Server" laufen: 1) i5 3570k, leicht ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte30 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...