Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.
Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.
Ein Kunde kämpft folglich gerade mit seinem Cluster:
- Description: VPN Tunnel Fails after „reboot all cluster nodes now“
1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
2. On one cluster, execute „reboot all cluster nodes now“
3. After nodes reboot, the pings and or wgets fail
4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel
Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muss danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.
Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.
Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:
- Cisco ASA ?
- Check Point FireWall-1 ?
- Juniper NetScreen ?
- oder was exotisches wie Phion ?
Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-
Das bzgl. der Symantec Firewall Apliances geschilderte erinnert mich aus eigener Erfahrung sehr stark an Art und Weise, wie Backupexec 10 und 11 „gepflegt“ werden.
Comment by benniy goodman — 14. Juli 2007 @ 13:11
Hi,
´bin grad auf Dein blog gestoßen, gefällt mir.
Ich habe ähnliche Erfahrungen mit den SGSen… die Patches werden immer schlimmer- und das Lizenzportal erst….. pff.
Ich bin ziemlich von den Juniper-Geräten überzeugt, machen einen netten Eindruck- sind halt keine Proxies, klar…
Comment by Rüdiger — 22. Juli 2007 @ 11:49
Ich finde das schade, weil die Raptor früher mal richtig gut war. Und ich verstehe echt nicht, warum Symantec die Firewall nicht wie Check Point als reine Software-Lösung auf Linux weitervertreibt. Naja, die Karawane zieht weiter und Symantec wird auf diese Weise als Anbieter von Sicherheitslösungen irgendwann nicht mehr ernstgenommen werden.
Comment by Christian — 22. Juli 2007 @ 18:35
Kommentare gesperrt wegen Spam
Comment by Christian — 9. Oktober 2016 @ 20:50