Empfehlung Web Security Proxy Appliance (Enterprise)

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

10.05.2016 - 10:49

Wir haben bei uns seit Jahren eine Websense-Appliance in Betrieb und jetzt wäre wieder Zeit für eine Re-Evaluation der Konkurrenz

Kurz die Anforderungen grob umrissen:

Inspection:
- Threat
- Category
- SSL validity (technical)
- SSL traffic (breakup)

Policies:
- per User / Group (AD)
- per IP

NiceToHave:
- Ausnahmen möglichst granular konfigurierbar

Bisher im Test:
- Barracuda Web Security Gateway
- Cyan Web Security
- upcoming: Cisco Web Security

weitere Produktempfehlungen werden gerne angenommen

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11118

10.05.2016 - 12:18

Sophos UTM

hachigatsu

king of the bongo

Registered: Nov 2007
Location: Salzburg
Posts: 5702

10.05.2016 - 15:57

Haben derzeit auch Barracuda mit oben genanten Sachen im Einsatz. Nur Probleme... Bringt Terminalserver 2008 R2 zum Bluescreen und andere Probleme.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8902

10.05.2016 - 16:01

wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

10.05.2016 - 16:04

wir haben eine palo alto im einsatz, damit sind wir eigentlich sehr zufrieden

Deftik

Storage baby!

Registered: Sep 2004
Location: Frankfurt|DE
Posts: 1279

10.05.2016 - 17:05

Fortigate schmeiß ich mal ins Rennen. Haben aktuell eine 310B plus eine Wensence im Einsatz und wollen updaten. Habe uns Palo Alto, Sophos und cisco abgeschaut. Wird jetzt wieder Fortigate die in der aktuellen version auch die Wensence ablösen kann. Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen. Wenn du noch ca. 50k € über hast schau dir mal die fortisandbox an

Bearbeitet von Deftik am 10.05.2016, 17:08

CyQuest

Ozeanien

Registered: Nov 2001
Location: KTN
Posts: 656

10.05.2016 - 19:07

Wir haben eine Cisco Web Security Appliance S170. Zurzeit mässig zufrieden die letzten Software Version hatten einen Bug nach den anderen. Cisco ist auch nicht mehr das was sie einmal waren.

Bearbeitet von CyQuest am 10.05.2016, 19:07

Lord Wyrm

topquote owner since '17

Registered: Jan 2005
Location: wean
Posts: 1316

10.05.2016 - 19:10

Zitat von Deftik
Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen.

Sehe ich persönlich auch als sinnbefreit.

Mit der reinen Proxy Appliance von Sophos (Sophos Web Appliance) war ich persönlich eher unzufrieden in Verbindung mit SSL Scanning.

@spunz: Kenn die UTM nur von der Demo.
Bei der Web Appliance wars speziell im Bereich der Certificate Validation sowie des SSL Scannings für mich sehr mühsam und mit hohem administrativen Aufwand verbunden.

Was mich persönlich ziemlich störte war das speziell das Logging sehr unaussagend war und erst wieder der komplette Syslog herangezogen werden musste. Auch manche Ausnahmen waren eher tricky zu definieren.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

10.05.2016 - 19:31

Zitat von Umlüx
wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus.

kann kein User based. Nur IP based policies/loging afaik.
ansonsten ist asa mit firepower (sourcefire) sehr mächtig aber komplex

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

11.05.2016 - 08:05

Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11526

11.05.2016 - 08:16

Zitat von Redphex
Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen?

ja

uebi

Here to stay

Registered: Jan 2003
Location: AT
Posts: 1753

11.05.2016 - 09:03

Warum nicht CheckPoint?

HowlingWolf

...

Registered: Jul 2001
Location: 2340
Posts: 1314

11.05.2016 - 09:24

Haben derzeit eine Cisco ASA in Verbindung mit ner Cisco WSA am laufen...
Administration ist allerdings sehr mühsam. Vor allem war der Installationsprozess nicht ohne Schwierigkeiten.

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

11.05.2016 - 09:45

Zitat von uebi
Warum nicht CheckPoint?

Werfe gerne einen Blick auf alle Vorschläge

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6301

11.05.2016 - 10:03

Die größeren Appliances von Trend Micro TippingPoint sollten das auch können, die lagen im 2015 NSS Test im Kosten/Erkennungs-Verhältnis ziemlich weit vorne.

Bzgl. der genauen technischen Möglichkeiten musst aber selbst mit denen Kontakt aufnehmen.

Bearbeitet von mr.nice. am 11.05.2016, 10:05

Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	10.05.2016 - 10:49 Wir haben bei uns seit Jahren eine Websense-Appliance in Betrieb und jetzt wäre wieder Zeit für eine Re-Evaluation der Konkurrenz Kurz die Anforderungen grob umrissen: Inspection: - Threat - Category - SSL validity (technical) - SSL traffic (breakup) Policies: - per User / Group (AD) - per IP NiceToHave: - Ausnahmen möglichst granular konfigurierbar Bisher im Test: - Barracuda Web Security Gateway - Cyan Web Security - upcoming: Cisco Web Security weitere Produktempfehlungen werden gerne angenommen
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11118	10.05.2016 - 12:18 Sophos UTM
hachigatsu king of the bongo Registered: Nov 2007 Location: Salzburg Posts: 5702	10.05.2016 - 15:57 Haben derzeit auch Barracuda mit oben genanten Sachen im Einsatz. Nur Probleme... Bringt Terminalserver 2008 R2 zum Bluescreen und andere Probleme.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8902	10.05.2016 - 16:01 wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	10.05.2016 - 16:04 wir haben eine palo alto im einsatz, damit sind wir eigentlich sehr zufrieden
Deftik Storage baby! Registered: Sep 2004 Location: Frankfurt\|DE Posts: 1279	10.05.2016 - 17:05 Fortigate schmeiß ich mal ins Rennen. Haben aktuell eine 310B plus eine Wensence im Einsatz und wollen updaten. Habe uns Palo Alto, Sophos und cisco abgeschaut. Wird jetzt wieder Fortigate die in der aktuellen version auch die Wensence ablösen kann. Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen. Wenn du noch ca. 50k € über hast schau dir mal die fortisandbox an Bearbeitet von Deftik am 10.05.2016, 17:08
CyQuest Ozeanien Registered: Nov 2001 Location: KTN Posts: 656	10.05.2016 - 19:07 Wir haben eine Cisco Web Security Appliance S170. Zurzeit mässig zufrieden die letzten Software Version hatten einen Bug nach den anderen. Cisco ist auch nicht mehr das was sie einmal waren. Bearbeitet von CyQuest am 10.05.2016, 19:07
Lord Wyrm topquote owner since '17 Registered: Jan 2005 Location: wean Posts: 1316	10.05.2016 - 19:10 Zitat von Deftik Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen. Sehe ich persönlich auch als sinnbefreit. Mit der reinen Proxy Appliance von Sophos (Sophos Web Appliance) war ich persönlich eher unzufrieden in Verbindung mit SSL Scanning. @spunz: Kenn die UTM nur von der Demo. Bei der Web Appliance wars speziell im Bereich der Certificate Validation sowie des SSL Scannings für mich sehr mühsam und mit hohem administrativen Aufwand verbunden. Was mich persönlich ziemlich störte war das speziell das Logging sehr unaussagend war und erst wieder der komplette Syslog herangezogen werden musste. Auch manche Ausnahmen waren eher tricky zu definieren.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	10.05.2016 - 19:31 Zitat von Umlüx wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus. kann kein User based. Nur IP based policies/loging afaik. ansonsten ist asa mit firepower (sourcefire) sehr mächtig aber komplex
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	11.05.2016 - 08:05 Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11526	11.05.2016 - 08:16 Zitat von Redphex Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen? ja
uebi Here to stay Registered: Jan 2003 Location: AT Posts: 1753	11.05.2016 - 09:03 Warum nicht CheckPoint?
HowlingWolf ... Registered: Jul 2001 Location: 2340 Posts: 1314	11.05.2016 - 09:24 Haben derzeit eine Cisco ASA in Verbindung mit ner Cisco WSA am laufen... Administration ist allerdings sehr mühsam. Vor allem war der Installationsprozess nicht ohne Schwierigkeiten.
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	11.05.2016 - 09:45 Zitat von uebi Warum nicht CheckPoint? Werfe gerne einen Blick auf alle Vorschläge
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6301	11.05.2016 - 10:03 Die größeren Appliances von Trend Micro TippingPoint sollten das auch können, die lagen im 2015 NSS Test im Kosten/Erkennungs-Verhältnis ziemlich weit vorne. Bzgl. der genauen technischen Möglichkeiten musst aber selbst mit denen Kontakt aufnehmen. Bearbeitet von mr.nice. am 11.05.2016, 10:05

Empfehlung Web Security Proxy Appliance (Enterprise)

Forum Index > Hardware > Peripherie > Netzwerktechnik

Redphex

spunz

hachigatsu

Umlüx

davebastard

Deftik

CyQuest

Lord Wyrm

Smut

Redphex

davebastard

uebi

HowlingWolf

Redphex

mr.nice.