Re: Firewall Frage
From: Kai Wilke [MVP] (kw_at_n-o-s-p-a-m.itacs.de)
Date: 08/27/04
- Next message: Kai Wilke [MVP]: "Re: Netzwerkkarten Konfig"
- Previous message: Dennis: "ISA 2000 auf 2004 Updaten (Standard)"
- In reply to: Jörg Bremer: "Re: Firewall Frage"
- Next in thread: Amos Walker: "Re: Firewall Frage"
- Reply: Amos Walker: "Re: Firewall Frage"
- Messages sorted by: [ date ] [ thread ]
Date: Fri, 27 Aug 2004 14:33:26 +0200
Hi Jörg,
> Was ist denn der Vorteil wenn ich mir einen teueren Cisco
> (Pix?? ist es glaube) ich kaufe.
Je nach dem welche PIX du dir zulegst, ist die PIX in der Anschaffung sogar
günstiger als ein ISA Server! Wenn man jedoch sich ansieht, dass du zur PIX
meistens ein Support Vertrag benötigst, um an Updates heranzukommen (Cisco
hat auch Security Bugs!) und die Einarbeitung wesentlich komplexer ist denke
ich mal das der initiale Preisvorteil sehr schnell aufgebraucht ist.
> Hab ich da mehr
> Möglichkeiten und ist das teil sicherer.
Die derzeitge PIX (6.x) verfolgt als Firewall einen ganz anderen Ansatz als
der ISA Server 2004. Die PIX kann man als sehr soliden Paketfilter ansehen,
der vornehmlich die OSI Layer 3-4 auswertet und im geringen Maße die Layer
5-7. Der ISA Server hingegen bietet auf den Layern 3-4 nicht so viele
Funktionalitäten wie die PIX Firewall, hat aber im Gegensatz zur PIX sehr,
sehr (und nochmals sehr) ausgeprägte Eigenschaften für die OSI Layer 5-7!!!
Wenn du mich fragtst, dann ist der ISA Server von seinen Filtereigenschaften
ganz klar der PIX Firewall überlegen. Im Gegensatz dazu ist die PIX dem ISA
Server überlegen, wenn man sehr anspruchsvolle Netzwerke abbilden möchte und
totale Granularität für die Layer 3-4 benötigt. (DNAT, SNAT, 1:1 NAT, Dual
NAT usw....)
Fazit: PIX ist besser wenn es um die Layer 3-4 geht und ISA Server hat die
klaren Vorteile in den Layern 5-7. Beide Produkte zusammen eigesetzt ist
dann eine Symbiose die es echt in sich hat. In diesem Fall hast du die
Vorteile des ISA Servers mit den Vorteilen der PIX Firewall kombiniert und
erhälst somit eine Firewall Lösung die beides sehr gut kann...
Nun zum Thema VPN:
Lange Zeit galt bei mir Cisco (VPN Concentrators und auch PIX) als erste
Wahl wenn es um VPN ging. Jedoch hat sich dieses seit der Einführung des ISA
Server 2004 drastisch geändert! Derzeit würde ich sagen, dass der ISA Server
2004 als eines der besten VPN Produkte auf den Markt anzusehen ist (kommt
wieder auf den Einsatzfall an). Microsoft hat sich im VPN Bereich ganz klar
auf die Fahne geschriben "nur IETF konforme Protokolle" einzusetzen, um eine
möglichst große Kompatiblität zu anderen Herstellern und Netzwerkdevices zu
erreichen.
http://www.microsoft.com/windowsserver2003/techinfo/overview/vpnfaq.mspx
Des weiteren wurde beim ISA Server 2004 die RRAS Funktionalitäten des
Windows Server nochmals genial erweitert. Ab dem ISA Server 2004 kannst du
(vergleichbar zu Cisco) auch auf VPN Kanäle, die auf der Firewall initiiert
oder terminiert werden, eine Filterung über ACLs anwenden. Jedoch ist dieser
Vorgang verglichen zu Cisco sehr einfach zu administrieren und bietet dir in
entscheidenen Bereichen sogar noch mehr Möglichkeiten (z.B. Firewall ACLs
auf Benutzergruppen). Das einzige wirkliche Manko, dass ich derzeit in den
ISA Server VPN Diensten sehe, ist die noch fehlende Unterstützung von AES
als Verschlüsselungsprotokoll... Jedoch denke ich mal das dieses mit einem
Service Pack des Windows Servers 2003 noch nachgeliefert wird....
Gruß Kai
-- Kai Wilke MVP for Security and ISA Server ITaCS GmbH http://www.itacs.de !! Kostenlose Supportanfragen bitte nur in den News Groups !!
- Next message: Kai Wilke [MVP]: "Re: Netzwerkkarten Konfig"
- Previous message: Dennis: "ISA 2000 auf 2004 Updaten (Standard)"
- In reply to: Jörg Bremer: "Re: Firewall Frage"
- Next in thread: Amos Walker: "Re: Firewall Frage"
- Reply: Amos Walker: "Re: Firewall Frage"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
