Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.
Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.
Ein Kunde kämpft folglich gerade mit seinem Cluster:
- Description: VPN Tunnel Fails after „reboot all cluster nodes now“
1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
2. On one cluster, execute „reboot all cluster nodes now“
3. After nodes reboot, the pings and or wgets fail
4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel
Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muss danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.
Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.
Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:
- Cisco ASA ?
- Check Point FireWall-1 ?
- Juniper NetScreen ?
- oder was exotisches wie Phion ?
Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-