Hardware-Firewall gesucht

[George Jakubaas]

Hallo allerseits

Meine jetzige (Zyxel Zywall 5) ist in die Jahre gekommen. Deshalb bin ich auf der Suche nach einer neuen Hardware-Firewall (Appliance für SOHO-Bereich). Das Teil sollte folgende Anforderungen erfüllen:

• Mindestens 100Mbit Durchsatz
• Aktuelle Firewall-Funktionen
• 3-4 Netzwerkports
• DMZ
• VPN
• Kein WLAN

Kann mir jemand eine Appliance empfehlen, die nicht zu teuer ist?
Alternativ suche ich eine Empfehlung für eine fertige Hardware für eine Sophos UTM Home Edition gebrauchen.
Oder vielleicht hat jemand eine aktuelle SOHO Firewall übrig...

Besten Dank und Gruss

George
PS: Im Notfall kann es auch eine Checkpoint sein :-)

[HP Rutschmann]

Darf's auch Open Source sein?

Falls ja, kann ich pfSense 2.1 empfehlen (pfsense.org)
Wenn Du keine sehr ausgefeilten Firewall-Funktionalitäten brauchst, tut's vielleicht auch die MonoWall (m0n0.ch).

Als Hardware darunter habe ich gute Erfahrungen gemacht mit der ALIX (3x100Mpbs) und den APU (3x 1Gps) von Herrn Dornier (sic!) von pcEngines.ch.
Einziges Manko mit dieser Config: Die angebotetenen WLAN-Karten (falls Du die doch noch mal brauchst) laufen erst vernünftig mit pfSense 2.2, currently beta und "higly experimental".

Ich habe Erfahrung mit folgenden Kombinationen:
- m0n0 auf ALIX (ca. 80 Stk zentral verwaltet im Einsatz an Basler Schulen)
- pfSense auf APU (ca. 25 Stk zentral verwaltet im Einsatz, damit werden bis Mitte nächsten Jahres ca 160 Kindergärten ausgerollt)
- pfSense habe ich vereinzelt (<10Stk) auch auf anderen Plattformen im Einsatz (zB SuperMicro)

PCEngines finde ich nett, weil 1. in CH entwickelt und 2. sehr bescheidener Energieverbrauch.
Seine Homepage und sein Webshop sind leicht steinzeitlich - aber er soll ja auch Hardware entwickeln stattdessen.

Sorry, wenn's jetzt in Werbung abdriftet - aber ich hab das seit Jahren beruflich und privat im Einsatz und funzt klaglos.

Achja, falls Du doch mehr als 3 Interfaces bräuchtest, wären eventuell die Soekris 5501/5601 mit 4 Ports plus Erweiterungskarte interessant. Auch die funzen prächtig.

pfSense kannst Du als liveInstaller-CD mal runterladen und zb auf einem alten PC oder auf einer VM installieren zum Spielen.

Bei Fragen fragen.

[George Jakubaas]

für Deine ausführliche und informative Antwort, HP!

Darf's auch Open Source sein?

Noch so gerne! Das schaue ich mir sowas von an!

Folgefragen (muss leider sein):
1) Hast Du eine Stückliste für eine APU1d4?
2) Würdest Du diese inkl. der 16GB SSD bestellen, oder ist die sowieso obligatorisch?
3) Kann man die Geräte auch fertig assembliert kaufen? Ich denke nicht, dass Du 160 APUs zusammenbaust...

[HP Rutschmann]

1) Hast Du eine Stückliste für eine APU1d4?

Ja, im Büro...
Im Prinzip würdest Du die APU, Gehäuse in Farbe Deiner Wahl, SSD und Steckernetzteil brauchen.
Ich denke, das reicht schon - also irgend so was:
2014-11-30_12h19_36.png

2) Würdest Du diese inkl. der 16GB SSD bestellen, oder ist die sowieso obligatorisch?

Ja und nein, Du kannst irgendeine SSD mit mSATA reinhalten. Aber wieso in die Ferne schweifen..

3) Kann man die Geräte auch fertig assembliert kaufen? Ich denke nicht, dass Du 160 APUs zusammenbaust...

Ja, Dornier hat mir sie für 8.-/ Gerät zusammengebaut, mit unserem Image bespielt und mit der MAC-Adressen-Barcode beschriftet. Möglich, dass er sich bei Einzelstücken weigert...
Aber der Zusammenbau ist definitv keine Hexerei, 8 Schrauben, plus das Wärme-Ableitblech mit vorbereitetem doppelseitigem Klebeband, siehe http://www.pcengines.ch/apucool.htm

[HP Rutschmann]

Nachtrag:

mono und pfSense sind beides reine L3-Firewalls - sprich Packetfilter mit relativ trivialer stateful inspection.

Falls Du mehr brauchst (Web Screening etc.) müsstest Du doch auf die Sophos setzen.
Da ist aber gemäss Supportform von pcEngines die mSata nicht kompatibel mit!

Übrigens, willst Du wirklich die 4GB?
https://forum.pfsense.org/index.php?...3913#msg403913 sagt:

Eine Kette aus: SNORT -> Dansguardian -> Squid -> Privoxy
dazu ein YouTube Video im stream + parallel ein Dummydownload (gesamt 50 Mb/s)
bringen die CPU eher an die Grenzen als das die 2GB Ram voll sind.

[George Jakubaas]

mono und pfSense sind beides reine L3-Firewalls - sprich Packetfilter mit relativ trivialer stateful inspection.

Ja, L3-FW soll die primäre Funktion sein, obwohl zusätzliche Funktionen auch nicht ablehnen würde. Deshalb möchte ich beide anschauen, Sophos und pfSense.

Übrigens, willst Du wirklich die 4GB?

Im Thread wird die Firewall bewusst an die Grenzen gebracht (u.a. mit dem CPU-intensivem SNORT). Deshalb sind 4 GB schon ok. Und so viel teurer sind die 2 GB nicht.

Falls Du mehr brauchst (Web Screening etc.) müsstest Du doch auf die Sophos setzen.
Da ist aber gemäss Supportform von pcEngines die mSata nicht kompatibel mit!

Dieser Hinweis kommt leider zu spät, ich habe das Teil schon bestellt. Macht nix, ich schaue zuerst sowieso pfSense an und wenn das läuft, behalte ich es. Und Proxying/URL-filtering kann ich auf der pfSense auch mit Squid lösen.

[HP Rutschmann]

... und falls Du doch die Sophos willst, musst Du die halt per externem USB betreiben, das sollte funktionieren...

[George Jakubaas]

Für alle, die es interessiert:
Meine Lösung ist eine Firewall auf Basis der von HP empfohlenen Hardware (PC-Engines APU1d4) mit PFsense (Open Source). Der Zusammenbau der Hardware ist etwas frickelig, aber wenn sogar ich das geschafft habe, schafft Ihr es auch.
Die Firewall-Software ist für Fortgeschrittene IT-ler, jedoch äusserst flexibel und lässt keinerlei Wünsche offen.
Wenn jemand Fragen hat, einfach melden.