Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 9523 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM behind Firewall/Router

Ross86
Hi, I need some advice on this.

We don't currently have Sophos UTM but are looking to implement it.

Current setup is as follows:

1) Secure Gateway -  Juniper SRX in Active/Passive configuration (handles firewall and routing)  This connects to the WAN cisco router and the internal core LAN switch.  Also controls Wireless controller for guest and LAN wifi, and VPN.  Handles destination NAT to mail server and source NAT to DMZ zone which forwards to Microsoft TMG.

2)  Microsoft TMG as a reverse proxy,  external clients come from untrust on the SRX and are forwarded to a DMZ address which sends them to the DMZ adapter on the TMG server.  We use this to publish sharepoint sites, lync, CRM, and a couple of other websites.

We purchased the UTM licences for the Juniper,  I like the SRX but the UTM just doesnt work.

My question is how would I setup Sophos UTM to sit behind the SRX firewall/routers,  handle all the UTM scanning (web filtering, IDP),  and also become a replacement for TMG so we can publish all our sites securely?  

We also load balance these websites for internal uses on a separate internal rule through TMG.

All our internal clients use the Juniper as the gateway.

I have looked at documentation on replacing with TMG and it seems to be focused on using Sophos as your only secure gateway.

Any advice would be great.

Thanks
Ross


This thread was automatically locked due to age.
  • 0 in reply to tim2611_01
    Thanks,  I have looked at that and it does answer some of the question.

    How does it know to filter traffic if the internal clients default gateway is the Juniper Firewall?

    Can you do other features in bridged mode like mail, endpoint AV, website publishing?

    Thanks
    Ross
  • 0 in reply to Ross86
    How does it know to filter traffic if the internal clients default gateway is the Juniper Firewall?
      

    Hi Ross,
    the answer is in section 5:
    Now this is complete we are able to connect the UTM device to the network (one cable to the firewall, one to the switch). Computers on the attached switch should now be able to connect out to the Internet via the bridged UTM (e.g., try browsing to google.com). If you experience any issues open the firewall live log to ensure traffic is allowed through.

    The UTM is a logic bridge but physical you connect it between your Juniper and the LAN.

    I don't understand if you want to replace the Juniper with the UTM or keep both?
    The bridged mode is very good for demo and evaluation scenarios but if you would replace Juniper after the evaluation you typically would turn bridged mode back to standard mode then.

    Regards, Karsten
  • 0 in reply to KKnecht
    Hi karsten,

    Ok thanks for clarifying, ideally I would like to keep the juniper as the firewall and use sophos for the other UTM features.  I'm going to trial it at home, how however hope to use the solution at work budget permitting as sophos utm seems expensive!

    Thanks
    Ross
  • 0 in reply to Ross86
    Hi Ross,
    your answer is a little confusing. You will have to pay for the juniper and UTM licence with what you are proposing, which will double your costs if not more.
    The UTM can replace the Juniper.

    Ian
  • 0 in reply to RFCat_vk_01
    Hi Ian,

    I currently have the UTM licence on the juniper and it doesn't work well at all. I've had a case logged with JTAC for over a month and still no resolution.  I want to get rid of the UTM licence on the Juniper and use it at the edge as the firewall and router, then use sophos UTM behind the juniper so all internal clients are filtered.

    Thanks
    Ross
  • 0
    Hi, Ross, and welcome to the User BB!

    Once you become a bit more familiar with the Sophos UTM, I think you'll better understand why Ian and Karsten made the suggestion they did.  Less complicated and less expensive.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi bob,

    Thanks,  I know that it will cost more due to having two appliances that can do the features I require all in one.

    We already have the Juniper SRX configured and live, with wifi, vpn and UTM.  The UTM isn't working so we are looking at other products to do this...get the 2,500 refunded from Juniper and use another product for UTM, Sophos came out very expensive but we are considering.

    I know if we replaced the whole lot it would justify the Sophos but my boss isn't too keen on replacing the Juniper completely.

    Thanks 
    Ross