Firewall mit oder ohne DMZ?

Hallo zusammen!

Ich hab die Aufgabe bekommen, die Internetanbindung einer Firma zu erneuern. Dazu gehört u.a. auch, dass von einem externen Mailprovider (hier T-Online Business Homepage) zu einem intern verwalteten Mailserver gewechselt werden soll. Die Anbindung soll über eine professionelle Standleitung (z.B. Q-DSLmax [SDSL mit 2,3 Mbps] oder NetCologne [ADSL mit 1,5 Mbps]) geschehen und eine Managed Firewall (MFS) angeschafft werden.
Weil der preisliche Unterschied zwischen MFS mit und ohne DMZ aber sehr hoch ist, überlege ich, ob ich zwingend eine DMZ brauche.
Wenn ich den Router und die MFS ohne DMZ so konfigurieren lasse, dass alle Anfrage auf Port 25 (SMTP) an meinen „Mailfilter“ im internen LAN geschickt werden, brauche ich ja nicht unbedingt eine SMZ mit Mail Relay. Oder öffne ich hier ein Einfallstor, das mein LAN kompromittiert?
„Mailfilter“ in diesem Sinne soll ein PC oder Server werden, auf dem dann ein Tool á la GFIsoftwares Mail Essentials läuft, um Spam, Würmer und Exploits zu filtern. Dieses Tool empfängt die Daten auf Port 25 und gibt sie gefiltert an meinen echten Mailserver weiter.
Meine Überlegung geht im Moment stark zum Angebot von NetCologne, da wäre dann eine NetScreen 5XT (ohne DMZ) oder NetScreen 25 (mit DMZ) drin. Gibt’s Erfahrungsberichte zu den Geräten und/oder zum MFS von NetCologne?
Gruß,

Tim.

Ich hab die Aufgabe bekommen, die Internetanbindung einer
Firma zu erneuern. Dazu gehört u.a. auch, dass von einem
externen Mailprovider (hier T-Online Business Homepage) zu
einem intern verwalteten Mailserver gewechselt werden soll.
Die Anbindung soll über eine professionelle Standleitung (z.B.
Q-DSLmax [SDSL mit 2,3 Mbps] oder NetCologne [ADSL mit 1,5
Mbps]) geschehen und eine Managed Firewall (MFS)

Was it denn das?

 Eine Firewall ist ein Konzept

angeschafft
werden.
Weil der preisliche Unterschied zwischen MFS mit und ohne DMZ
aber sehr hoch ist,

Was ist „sehr hoch“? Ich habe den Verdacht, da will ein Hersteller ein „DMZ-Dingens“ verkaufen (wobei auch eben daran das Konzept das entscheidende ist…)

überlege ich, ob ich zwingend eine DMZ
brauche.
Wenn ich den Router und die MFS ohne DMZ so konfigurieren
lasse, dass alle Anfrage auf Port 25 (SMTP) an meinen
„Mailfilter“ im internen LAN geschickt werden, brauche ich ja
nicht unbedingt eine SMZ mit Mail Relay. Oder öffne ich hier
ein Einfallstor, das mein LAN kompromittiert?

Das kommt darauf an, wie sehr Du Deinem Mailfilter vertraust, Potenziell ist das kritisch.

„Mailfilter“ in diesem Sinne soll ein PC oder Server werden,
auf dem dann ein Tool á la GFIsoftwares Mail Essentials läuft,
um Spam, Würmer und Exploits zu filtern.

Das Ding „läuft“ auf Exchange.

Mbhahahah!

Du solltest Exchange nicht „dem Internet“ aussetzen, schon garnicht, wenn es ein Sprungbrett ins interne Netz ist.

Mach irgendwas (ich persönlich würde vermutlich einen alten Rechner (z.B. 486er) mit einer qmail-Installation dazwischen setzen und Exchange in weitem Bogen wegwerfen), aber vor Exchange „im Internet“ kann ich nur warnen.

Dieses Tool empfängt
die Daten auf Port 25 und gibt sie gefiltert an meinen echten
Mailserver weiter.

Oh, wie DoS-fest das wohl sein mag…?

Meine Überlegung geht im Moment stark zum Angebot von
NetCologne, da wäre dann eine NetScreen 5XT (ohne DMZ) oder
NetScreen 25 (mit DMZ) drin.

Das klingt natürlich echt teuer und professionell und so…

Wovor soll Euch die Firewall denn so schützen? Was sieht Euer Intrnet-(Nutzungs-)Konzept so vor?

Sebastian

Weil der preisliche Unterschied zwischen MFS mit und ohne DMZ
aber sehr hoch ist,

Was ist „sehr hoch“? Ich habe den Verdacht, da will ein
Hersteller ein „DMZ-Dingens“ verkaufen (wobei auch eben daran
das Konzept das entscheidende ist…)

Ohne DMZ liege ich bei 225,- € pro Monat, mit DMZ bei 610,- €.

Wenn ich den Router und die MFS ohne DMZ so konfigurieren
lasse, dass alle Anfrage auf Port 25 (SMTP) an meinen
„Mailfilter“ im internen LAN geschickt werden, brauche ich ja
nicht unbedingt eine DMZ mit Mail Relay. Oder öffne ich hier
ein Einfallstor, das mein LAN kompromittiert?

Das kommt darauf an, wie sehr Du Deinem Mailfilter vertraust,
Potenziell ist das kritisch.

Natürlich ist das potenziell kritisch. Deswegen interessiert mich ja, ob ein gemeiner Hacker das ausnutzen kann.

„Mailfilter“ in diesem Sinne soll ein PC oder Server werden,
auf dem dann ein Tool á la GFIsoftwares MailEssentials läuft,
um Spam, Würmer und Exploits zu filtern.

Das Ding „läuft“ auf Exchange.

Nö, MailEssentials bringt seinen eigenen SMTP-Serverdienst mit. Zumindest war das in der letzten Version noch so, die hab ich nämlich bei einem früheren Kunden am Laufen gehabt.
In dem Fall lief der Domino-Server mit MailEssentials auf einem Server. ME hörte auf Port 25 die Mails ab und gab sie auf Port 26 an Domino weiter.

Du solltest Exchange nicht „dem Internet“ aussetzen, schon
garnicht, wenn es ein Sprungbrett ins interne Netz ist.

Und wieder zur ersten Frage: Wie sehr öffne ich mein Netz, wenn ich keine DMZ habe, sondern per PAT oder was auch immer allen Traffic auf Port 25 direkt zum Mailfilter oder auch Exchange-Server forwarde? Kann ich mein Exchange 5.5 (Ein Update auf 2000 ist nicht vorgesehen, aber auch keine heilige Kuh.) entsprechend dicht machen, dass es nicht missbraucht werden kann?

Mach irgendwas (ich persönlich würde vermutlich einen alten
Rechner (z.B. 486er) mit einer qmail-Installation dazwischen
setzen und Exchange in weitem Bogen wegwerfen), aber vor
Exchange „im Internet“ kann ich nur warnen.

qmail klingt wieder so nach Linux. Davon hab ich keine Ahnung.

Oh, wie DoS-fest das wohl sein mag…?

Mir ist zumindest kein Problem bekannt, ausser dass evtl. die Log-Datei volllaufen kann.

Wovor soll Euch die Firewall denn so schützen? Was sieht Euer
Internet-(Nutzungs-)Konzept so vor?

Im wesentlichen vor jedem unbefugten Zugriff von aussen. Ausser dem Mailserver existieren auch keine weiteren öffentlichen Dienste. In einer noch recht fernen Zukunft ist ein VPN gedacht, um den Mitarbeitern von unterwegs/zuhause Zugriff auf ihre Daten bzw. Mails zu gewähren.
Prinzipiell dient das Internet uns der Recherche, der externen Kommunikation (Mail) und für B2B-Anwendungen wie z.B. Bestellungen bei Lieferanten.

Immer noch nicht schlauer,

Tim.

Hallo zusammen!

Ich hab die Aufgabe bekommen, die Internetanbindung einer
Firma zu erneuern.

Das is ja noch nix schlimmes

Dazu gehört u.a. auch, dass von einem
externen Mailprovider (hier T-Online Business Homepage) zu
einem intern verwalteten Mailserver gewechselt werden soll.

Bei vorhandenem Knowhow (oder ausreichendem Budget) ne sinnvolle Sache.

Die Anbindung soll über eine professionelle Standleitung (z.B.
Q-DSLmax [SDSL mit 2,3 Mbps] oder NetCologne [ADSL mit 1,5
Mbps]) geschehen

Okay, wenn ihr solch eine Leitung braucht, gut.

und eine Managed Firewall (MFS) angeschafft werden.

Meint das, daß sie von einem externen Dienstleister administriert wird?

Weil der preisliche Unterschied zwischen MFS mit und ohne DMZ
aber sehr hoch ist, überlege ich, ob ich zwingend eine DMZ
brauche.

Wenn Du auf bestimmte Maschinen Zugriff von „innen“ _und_ „außen“ zulassen möchtest, kann eine DMZ eine sinnvolle Einrichtung sein. Denn genau dafür ist sie da.

Wenn ich den Router und die MFS ohne DMZ so konfigurieren
lasse, dass alle Anfrage auf Port 25 (SMTP) an meinen
„Mailfilter“ im internen LAN geschickt werden, brauche ich ja
nicht unbedingt eine SMZ mit Mail Relay. Oder öffne ich hier
ein Einfallstor, das mein LAN kompromittiert?

In dem Moment, in dem Dein „Mailfilter“ kompromittiert ist (und das ist generell nicht auszuschliessen, weil er vom Internet aus erreichbar ist!), ist Dein gesamtes LAN kompromittiert. Deine LAN-Sicherheit hängt also maßgeblich von der des Mailfilters ab.

„Mailfilter“ in diesem Sinne soll ein PC oder Server werden,
auf dem dann ein Tool á la GFIsoftwares Mail Essentials läuft,
um Spam, Würmer und Exploits zu filtern. Dieses Tool empfängt
die Daten auf Port 25 und gibt sie gefiltert an meinen echten
Mailserver weiter.

Das Tool kenne ich nicht, aber Windows Betriebssysteme sind generell als nicht sicher anzusehen.

Meine Überlegung geht im Moment stark zum Angebot von
NetCologne, da wäre dann eine NetScreen 5XT (ohne DMZ) oder
NetScreen 25 (mit DMZ) drin. Gibt’s Erfahrungsberichte zu den
Geräten und/oder zum MFS von NetCologne?

Leider beides nicht, sorry. Weiter unten schreibst Du was von ~625 EUR/Monat. Ich behaupte, für das Geld bekommst Du einen Unix-Experten, der Dir eine solche Firewall (Konzept plus Gerät plus Wartung) einrichtet, auch mit DMZ, und zwar derart, daß es am Anfang etwas mehr Geld kostet, sich aber spätestens nach einem Jahr locker rentiert hat. Eventuell ist es ja auch eine Möglichkeit, daß Du Dir selbst das Wissen aneignest - muß ja nicht sofort auf einen Schlag sein.

Das ist jetzt ein wenig aus der Hüfte geschossen, aber eine Überlegung bestimmt wert. Mir ist klar, daß Dir das jetzt nur wenig hilft. Doch _so_ wie es jetzt ist, bist Du den Vertrieblern der Anbieter hoffnungslos ausgesetzt. Ein kurzes Fazit_ Eine DMZ kann eine sehr sinnvolle Einrichtung sein. Ob der Preis gerechtfertigt ist, ist schwer abschätzbar - was ist Euch Euer LAN wert? Die Preisdifferenz erscheint mir jedoch ein wenig hoch.
Bloß - hast Du wirklich die Wahl?

*grübel*

Gruß,

Doc.

Dazu gehört u.a. auch, dass von einem
externen Mailprovider (hier T-Online Business Homepage) zu
einem intern verwalteten Mailserver gewechselt werden soll.

Bei vorhandenem Knowhow (oder ausreichendem Budget) ne
sinnvolle Sache.

Um das Know-How bemühe ich mich z.Zt. sehr, aber der Leidensdruck mit dem häufig nicht erreichbaren T-Online-Server ist schon ziemlich hoch und macht die Entscheidung leicht.

Die Anbindung soll über eine professionelle Standleitung (z.B.
Q-DSLmax [SDSL mit 2,3 Mbps] oder NetCologne [ADSL mit 1,5
Mbps]) geschehen

Okay, wenn ihr solch eine Leitung braucht, gut.

Um eine Fernwartung der FW zu ermöglichen, muss entweder eine Einwahlleitung vorhanden sein, oder eine Leitung mit permanenter IP-Adresse. Um den Mailserver publik zu machen, geht an der festen IP kein Weg vorbei. Daher habe ich diese Vorauswahl getroffen.
Und QSC bietet die SDSL 2,3Mbps für z.Zt. sagenhafte 99,- € pro Monat an!!! Das soll jetzt keine Werbung sein, ich kenne ja die Qualität noch nicht.

und eine Managed Firewall (MFS) angeschafft werden.

Meint das, daß sie von einem externen Dienstleister
administriert wird?

Eben dieses. Ich sehe mich zeitlich und auch von meinem Wissen her nicht in der Lage, das selber zu tun.

auf dem dann ein Tool á la GFIsoftwares Mail Essentials läuft,

Das Tool kenne ich nicht, aber Windows Betriebssysteme sind
generell als nicht sicher anzusehen.

Komisch, auch unser betreuendes Systemhaus kennt’s nicht. Ich hab’s früher bei Kunden häufiger gesehen.

~625 EUR/Monat. Ich behaupte, für das Geld bekommst Du einen
Unix-Experten, der Dir eine solche Firewall (Konzept plus
Gerät plus Wartung) einrichtet, auch mit DMZ, und zwar derart,
daß es am Anfang etwas mehr Geld kostet, sich aber spätestens
nach einem Jahr locker rentiert hat. Eventuell ist es ja auch

Genau das ist noch die andere Alternative. Unser Systemhaus hat mir ebenfalls ein Angebot unterbreitet, dass zwar im ersten Jahr über dem Angebot von NetCologne liegt, danach aber entsprechend günstiger wird. Ich erhoffe mich natürlich eine persönlichere Betreuung, aber bin mir über die Professionalität des Services nicht so sicher wie bei NetCologne (NC). Wenn nämlich der Linux-Techniker mit Security-Erfahrung das Systemhaus verlässt, kann das tragisch enden für uns. Bei NC mit dem weitaus größeren Personalstamm fällt das nicht so ins Gewicht.
Aber ich gewinne im Gegenzug auch eine viel höhere Flexibilität bei der Konfiguration der Systeme.

Bloß - hast Du wirklich die Wahl?

_grin_ Genau an den Punkt bin ich recht früh gekommen. Ich habe keine Wahl und nur ein gesundes Halbwissen in diesem Bereich. Ausserdem hab ich keine Freunde, Bekannten, Kollegen, die ich hier um Hilfe bitten könnte. Also schiebe ich eine Entscheidung schon so lange vor mir her, dass mir bald schlecht wird. Doch ich habe mir eine Deadline für Ende Januar gesetzt, und die will ich um jeden Preis halten. Doch dann plagen mich eben die Sorgen, dass ich mangels Vorwissen nicht alle Angebote ausreichend gewürdigt haben könnte. Schlimme Zwickmühle! B-(

Danke schonmal bis hierher,

Tim.

P.S.: Das Angebot des Systemhauses ist ein Server mit SuSE Linux 8.1 Pro (Gibt’s keine speziell gehärteten Versionen für den FW-Einsatz?) und dem H+B EDV AVGate zum Virenscannen der Mails sowie squid als Proxy, so dass keine direkten Zugriffe auf das Internet möglich sein dürften.

Um eine Fernwartung der FW zu ermöglichen, muss entweder eine
Einwahlleitung vorhanden sein, oder eine Leitung mit
permanenter IP-Adresse. Um den Mailserver publik zu machen,
geht an der festen IP kein Weg vorbei. Daher habe ich diese
Vorauswahl getroffen.
Und QSC bietet die SDSL 2,3Mbps für z.Zt. sagenhafte 99,- ?
pro Monat an!!! Das soll jetzt keine Werbung sein, ich kenne
ja die Qualität noch nicht.

Is ja gut War auch keinerlei Kritik oder so

und eine Managed Firewall (MFS) angeschafft werden.

Meint das, daß sie von einem externen Dienstleister
administriert wird?

Eben dieses. Ich sehe mich zeitlich und auch von meinem Wissen
her nicht in der Lage, das selber zu tun.

Okay.

Genau das ist noch die andere Alternative. Unser Systemhaus
hat mir ebenfalls ein Angebot unterbreitet, dass zwar im
ersten Jahr über dem Angebot von NetCologne liegt, danach aber
entsprechend günstiger wird. Ich erhoffe mich natürlich eine
persönlichere Betreuung, aber bin mir über die
Professionalität des Services nicht so sicher wie bei
NetCologne (NC). Wenn nämlich der Linux-Techniker mit
Security-Erfahrung das Systemhaus verlässt, kann das tragisch
enden für uns. Bei NC mit dem weitaus größeren Personalstamm
fällt das nicht so ins Gewicht.

Zukunftssicherheit ist ein relevanter Punkt. Hat Euer Systemhaus nur einen, der sich damit auskennt? Solcherlei Abhängigkeiten sind immer schlecht…

Aber ich gewinne im Gegenzug auch eine viel höhere
Flexibilität bei der Konfiguration der Systeme.

Ja! Und zwar erheblich. Die NetScreen Geräte kenne ich nicht, aber sie können niemals so flexibel sein wie ein echtes Unix.

Bloß - hast Du wirklich die Wahl?

_grin_ Genau an den Punkt bin ich recht früh gekommen. Ich
habe keine Wahl und nur ein gesundes Halbwissen in diesem
Bereich. Ausserdem hab ich keine Freunde, Bekannten, Kollegen,
die ich hier um Hilfe bitten könnte. Also schiebe ich eine
Entscheidung schon so lange vor mir her, dass mir bald
schlecht wird. Doch ich habe mir eine Deadline für Ende Januar
gesetzt, und die will ich um jeden Preis halten. Doch dann
plagen mich eben die Sorgen, dass ich mangels Vorwissen nicht
alle Angebote ausreichend gewürdigt haben könnte. Schlimme
Zwickmühle! B-(

Das kann ich nachvollziehen. Ich an Deiner Stelle würde dennoch das Unix-Angebot vorziehen - zum einen wegen der langfristig erheblich geringeren Kosten (Behauptung!), zum anderen, weil es wohl etwas leichter ist, einen Fortgeschrittenen bis Profi für Unices zu finden als einen Profi für Netscreen - falls ihr doch mal den Betreuer wechseln müsst. Und eben die Skalierbarkeit doch erheblich besser ist. Auch in Bezug auf VPN ist da noch was… Es ist zwar immer „so eine Sache^tm“, auf einer Firewall Dienste anzubieten, aber dennoch eine brauchbare Möglichkeit, später Eure VPNs auf der Firewall zu terminieren - kann das eine NetScreen auch?

P.S.: Das Angebot des Systemhauses ist ein Server mit SuSE
Linux 8.1 Pro (Gibt’s keine speziell gehärteten Versionen für
den FW-Einsatz?)

Doch, gibt es. Der Erfahrung nach schätzen Experten unter den Linux-Distributionen Debian besonders. Alternativ gibt es noch sowas wie OpenBSD, ein echtes Unix mit besonderem Schwerpunkt auf Sicherheit, das für sich in Anspruch nimmt, das sicherste Betriebssystem der Welt zu sein. Diese beiden werden gern für Security-Lösungen benutzt.

und dem H+B EDV AVGate zum Virenscannen der
Mails sowie squid als Proxy, so dass keine direkten Zugriffe
auf das Internet möglich sein dürften.

AVGate kenne ich nicht, aber ich mag H+BEDV Den Proxy könnte man auch schön in die DMZ stellen. Oder auf dem Firewall-Rechner einrichten, aber dann wäre schon wieder ein Dienst auf dem Firewall-Rechner - zweifelhaft, aber möglich. Das ist letztendlich ne Entscheidung, die auch davon abhängt, wie Euer Budget aussieht, ob es möglich ist, für sowas je einen eigenen Rechner aufzusetzen.

Gruß,

Doc.

Zukunftssicherheit ist ein relevanter Punkt. Hat Euer
Systemhaus nur einen, der sich damit auskennt? Solcherlei
Abhängigkeiten sind immer schlecht…

Ich halte es für wenig wahrscheinlich, dass das Systemhaus nur einen fähigen Linux-/Security-Techniker hat. Sind doch über 100 Leute in Summe.

Ja! Und zwar erheblich. Die NetScreen Geräte kenne ich
nicht, aber sie können niemals so flexibel sein wie ein echtes
Unix.

Aber dafür sind sie von Hard- und Software auf genau diesen einen Einsatzzweck hin entwickelt. Das spricht für eine höhere „Störfestigkeit“.

Das kann ich nachvollziehen. Ich an Deiner Stelle würde
dennoch das Unix-Angebot vorziehen - zum einen wegen der
langfristig erheblich geringeren Kosten (Behauptung!), zum

In der Tat hat eine (stark) vereinfachte Gegenrechnung gezeigt, dass die Anfangskosten zwar deutlich höher ausfallen als z.B. bei NC, aber die laufenden Kosten dafür niedriger sind. Außerdem geht der FW-Server in unseren Besitz über, was bei NC und den NetScreen-Geräten nicht so wäre.

Auch in Bezug auf VPN ist da noch was… Es ist zwar immer „so
eine Sache^tm“, auf einer Firewall Dienste
anzubieten, aber dennoch eine brauchbare Möglichkeit, später
Eure VPNs auf der Firewall zu terminieren - kann das eine
NetScreen auch?

VPN ist jetzt doch plötzlich ein Thema geworden. Und zwar ist mir _ SCHOCK!! _ wieder eingefallen, dass wir ja noch so etwas wie eine Aussenstelle haben. Eine Sekretärin in einiger Entfernung, die auch Zugriff auf ihre Mails bekommen muss. Das werde ich mit meinem Systemhaus sofort noch klären müssen.

Jedenfalls ist die Entscheidung nach einem guten Gespräch mit dem Systemhaus fast gefallen - und zwar für die QSC-Anbindung und die Linux-Firewall. Meine Bedenken sind weitestgehend ausgeräumt worden. VPN wird umgehend geklärt. Jetzt muss „nur noch“ die Geschäftsführung zustimmen.

Danke für die Hinweise,

Tim.

Ja! Und zwar erheblich. Die NetScreen Geräte kenne ich
nicht, aber sie können niemals so flexibel sein wie ein echtes
Unix.

Aber dafür sind sie von Hard- und Software auf genau diesen
einen Einsatzzweck hin entwickelt. Das spricht für eine höhere
„Störfestigkeit“.

Einen guten Rechner mit einem stabilem Unix halte ich für extrem störfest…

In der Tat hat eine (stark) vereinfachte Gegenrechnung
gezeigt, dass die Anfangskosten zwar deutlich höher ausfallen
als z.B. bei NC, aber die laufenden Kosten dafür niedriger
sind. Außerdem geht der FW-Server in unseren Besitz über, was
bei NC und den NetScreen-Geräten nicht so wäre.

Ja, und die Verwaltung kann - bei entsprechendem Know-How von Euch übernommen werden.

VPN ist jetzt doch plötzlich ein Thema geworden. Und zwar ist
mir _ SCHOCK!! _ wieder eingefallen, dass wir ja
noch so etwas wie eine Aussenstelle haben. Eine Sekretärin in
einiger Entfernung, die auch Zugriff auf ihre Mails bekommen
muss. Das werde ich mit meinem Systemhaus sofort noch klären
müssen.

Eventuell hilft IMAL über SSL bereits, dann barucht man kein VPN…

Jedenfalls ist die Entscheidung nach einem guten Gespräch mit
dem Systemhaus fast gefallen - und zwar für die QSC-Anbindung
und die Linux-Firewall.

Gut.

Sebastian

„Mailfilter“ in diesem Sinne soll ein PC oder Server werden,
auf dem dann ein Tool á la GFIsoftwares Mail Essentials läuft,
um Spam, Würmer und Exploits zu filtern. Dieses Tool empfängt
die Daten auf Port 25 und gibt sie gefiltert an meinen echten
Mailserver weiter.

Das Tool kenne ich nicht, aber Windows Betriebssysteme sind
generell als nicht sicher anzusehen.

Es entspricht in seiner Funktionalität wohl TrendMicros InterScan VirusWall und eManager. Das bietet nämlich NetCologne in seinem Paket an.

Gruß,

Tim.

Ich halte es für wenig wahrscheinlich, dass das Systemhaus nur
einen fähigen Linux-/Security-Techniker hat. Sind doch über
100 Leute in Summe.

Na also.

Aber dafür sind sie von Hard- und Software auf genau diesen
einen Einsatzzweck hin entwickelt. Das spricht für eine höhere
„Störfestigkeit“.

Das ist nicht uneingeschränkt richtig. Hier kann ich mich nur Sebastian uneingeschränkt anschliessen: Ein ordentlicher PC mit einem ordentlichen Unix ist vermutlich störunanfälliger - es ist zwar korrekt, daß Hard- und Software von Appliances im Idealfall gut aufeinander und auf ihren Einsatzzweck abgestimmt sind, aber Du kannst Dir dessen eben nicht sicher sein. Bei Hardware, die Du selbst auswählst (oder ein Experte Deines Vertrauens) und Open Source-Software, die durch peer review tausendfah unabhängig überprüft wurde, wäre mein Vertrauen zumindest größer, und sowohl Aufwand als auch Kosten für eine Erweiterung oder Reparatur sind erheblich geringer.

In der Tat hat eine (stark) vereinfachte Gegenrechnung
gezeigt, dass die Anfangskosten zwar deutlich höher ausfallen
als z.B. bei NC, aber die laufenden Kosten dafür niedriger
sind. Außerdem geht der FW-Server in unseren Besitz über, was
bei NC und den NetScreen-Geräten nicht so wäre.

Oh! Ja, das sind gute Argumente, auch finanziell.

Jedenfalls ist die Entscheidung nach einem guten Gespräch mit
dem Systemhaus fast gefallen - und zwar für die QSC-Anbindung
und die Linux-Firewall. Meine Bedenken sind weitestgehend
ausgeräumt worden. VPN wird umgehend geklärt. Jetzt muss „nur
noch“ die Geschäftsführung zustimmen.

Schön. Das macht auf mich auch (trotz nur entfernter Betrachtung von hier) den saubereren Eindruck.

Danke für die Hinweise,

Immer gern, Gruß,

Doc.