Empfehlung Web Security Proxy Appliance (Enterprise)

Seite 1 von 2 - Forum: Netzwerktechnik auf overclockers.at

URL: https://www.overclockers.at/netzwerktechnik/empfehlung-web-security-proxy-appliance-enterprise_246127/page_1 - zur Vollversion wechseln!

Redphex schrieb am 10.05.2016 um 10:49

Wir haben bei uns seit Jahren eine Websense-Appliance in Betrieb und jetzt wäre wieder Zeit für eine Re-Evaluation der Konkurrenz

Kurz die Anforderungen grob umrissen:

Inspection:
- Threat
- Category
- SSL validity (technical)
- SSL traffic (breakup)

Policies:
- per User / Group (AD)
- per IP

NiceToHave:
- Ausnahmen möglichst granular konfigurierbar

Bisher im Test:
- Barracuda Web Security Gateway
- Cyan Web Security
- upcoming: Cisco Web Security

weitere Produktempfehlungen werden gerne angenommen

spunz schrieb am 10.05.2016 um 12:18

Sophos UTM

schrieb am 10.05.2016 um 15:57

Haben derzeit auch Barracuda mit oben genanten Sachen im Einsatz. Nur Probleme... Bringt Terminalserver 2008 R2 zum Bluescreen und andere Probleme.

Umlüx schrieb am 10.05.2016 um 16:01

wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus.

davebastard schrieb am 10.05.2016 um 16:04

wir haben eine palo alto im einsatz, damit sind wir eigentlich sehr zufrieden

Deftik schrieb am 10.05.2016 um 17:05

Fortigate schmeiß ich mal ins Rennen. Haben aktuell eine 310B plus eine Wensence im Einsatz und wollen updaten. Habe uns Palo Alto, Sophos und cisco abgeschaut. Wird jetzt wieder Fortigate die in der aktuellen version auch die Wensence ablösen kann. Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen. Wenn du noch ca. 50k € über hast schau dir mal die fortisandbox an

CyQuest schrieb am 10.05.2016 um 19:07

Wir haben eine Cisco Web Security Appliance S170. Zurzeit mässig zufrieden die letzten Software Version hatten einen Bug nach den anderen. Cisco ist auch nicht mehr das was sie einmal waren.

Lord Wyrm schrieb am 10.05.2016 um 19:10

Zitat von Deftik
Wobei wir auf das aufbrechen von ssl verzichten (funktionell kann das die Fortigate) seh aber kein Sinn im SSL aufbrechen.

Sehe ich persönlich auch als sinnbefreit.

Mit der reinen Proxy Appliance von Sophos (Sophos Web Appliance) war ich persönlich eher unzufrieden in Verbindung mit SSL Scanning.

@spunz: Kenn die UTM nur von der Demo.
Bei der Web Appliance wars speziell im Bereich der Certificate Validation sowie des SSL Scannings für mich sehr mühsam und mit hohem administrativen Aufwand verbunden.

Was mich persönlich ziemlich störte war das speziell das Logging sehr unaussagend war und erst wieder der komplette Syslog herangezogen werden musste. Auch manche Ausnahmen waren eher tricky zu definieren.

Smut schrieb am 10.05.2016 um 19:31

Zitat von Umlüx
wir hatten bisher eine Cisco ASA im einsatz, waren aber eher nicht zufrieden damit. momentan sind wir zwar auch noch beim evaluieren, aber es sieht stark nach barracuda aus.

kann kein User based. Nur IP based policies/loging afaik.
ansonsten ist asa mit firepower (sourcefire) sehr mächtig aber komplex

Redphex schrieb am 11.05.2016 um 08:05

Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen?

davebastard schrieb am 11.05.2016 um 08:16

Zitat von Redphex
Sehe ich das richtig, daß bei Palo Alto und Fortigate das eigentlich NG-Firewalls sind, die den Web-Security Teil einfach mitmachen?

schrieb am 11.05.2016 um 09:03

Warum nicht CheckPoint?

HowlingWolf schrieb am 11.05.2016 um 09:24

Haben derzeit eine Cisco ASA in Verbindung mit ner Cisco WSA am laufen...
Administration ist allerdings sehr mühsam. Vor allem war der Installationsprozess nicht ohne Schwierigkeiten.

Redphex schrieb am 11.05.2016 um 09:45

Zitat von deleted875824
Warum nicht CheckPoint?

Werfe gerne einen Blick auf alle Vorschläge

mr.nice. schrieb am 11.05.2016 um 10:03

Die größeren Appliances von Trend Micro TippingPoint sollten das auch können, die lagen im 2015 NSS Test im Kosten/Erkennungs-Verhältnis ziemlich weit vorne.

Bzgl. der genauen technischen Möglichkeiten musst aber selbst mit denen Kontakt aufnehmen.