Firewall für KMUs: Wann reicht ipfire, wann braucht man Fortigate?
Beide sind leistungsfähige Firewall-Lösungen — aber für völlig unterschiedliche Szenarien. Eine Entscheidungshilfe aus der Praxis.
Die häufigste Frage die ich zum Thema Firewall bekomme: „Brauchen wir wirklich eine Fortigate?” Die ehrliche Antwort: meistens nicht.
ipfire: Die unterschätzte Open-Source-Lösung
ipfire ist eine Linux-basierte Firewall-Distribution, die auf Standard-Hardware oder in einer VM läuft. Ich setze sie für kleinere Kunden ein und bin seit Jahren zufrieden damit:
Stärken von ipfire:
- Kostenlos (GPL-lizenziert), läuft auf alter Hardware
- IPS/IDS (Intrusion Prevention) inklusive, wird aktiv gepflegt
- VPN: WireGuard und OpenVPN nativ unterstützt
- Übersichtliche Web-Oberfläche
- Active Community, regelmäßige Updates
Typischer Einsatz: Büros bis ca. 20-30 Benutzer, klare Netzwerktrennung (Server-VLAN, Client-VLAN, Gäste-WLAN), VPN für Homeoffice. Hardware: ca. 100-200 € für einen Mini-PC mit zwei Netzwerkkarten.
Ob das VPN korrekt läuft und die öffentliche IP tatsächlich wechselt, lässt sich schnell mit ipcheckdirekt.de prüfen — fragt direkt bei den autoritativen DNS-Servern an, kein Caching. Für Gäste-WLAN-Zugänge bietet sich außerdem ein QR-Code an statt handgeschriebener Passwörter: wlan-qr-code-erstellen.de
Wann Fortigate sinnvoll ist
Fortigate (Fortinet) ist Enterprise-Hardware — das spiegelt sich im Preis wider. Ein FortiGate 60F kostet ca. 500-800 € für die Hardware, dazu jährliche Lizenzgebühren für UTM-Features (IPS, AV, Web-Filtering) von ca. 400-800 € pro Jahr.
Das lohnt sich wenn:
- Zentrales Management mehrerer Standorte: FortiManager macht Multi-Site-Management deutlich einfacher als ipfire.
- SD-WAN mit mehreren Internetleitungen: Fortigate hat ausgereiftes SD-WAN mit automatischem Failover und Load-Balancing.
- NAC-Integration: Zusammenspiel mit FortiNAC oder Aruba ClearPass für gerätebasierte Zugangskontrolle.
- Compliance-Anforderungen: Manche Versicherungen oder Branchen-Standards (z. B. für Gesundheitseinrichtungen) erwarten kommerzielle Firewalls mit Support-Vertrag.
- VPN für viele gleichzeitige Nutzer: FortiClient VPN ist in größeren Umgebungen stabiler als OpenVPN bei 50+ gleichzeitigen Nutzern.
Die versteckten Kosten der Fortigate
Was viele nicht einkalkulieren: Wenn die Fortigate-Lizenz ausläuft, werden Sicherheits-Features abgeschaltet. Eine abgelaufene Fortigate ohne aktuelle Lizenzen ist unsicherer als eine gepflegte ipfire. Das Budget für Folgekosten muss von Anfang an eingeplant werden.
Meine Empfehlung
Für Büros bis 25-30 Benutzer ohne spezielle Compliance-Anforderungen: ipfire auf einem Mini-PC ist die pragmatische, kosteneffiziente Wahl. Die eingesparten Lizenzkosten lassen sich in einen vernünftigen Support-Vertrag investieren.
Ab 30+ Benutzern, mehreren Standorten oder spezifischen Anforderungen lohnt sich das Gespräch über Fortigate — dann aber mit realistischer Budgetplanung für die Folgekosten.
Begriffe in diesem Artikel
- KMU
- Kleine und mittlere Unternehmen — Betriebe bis ca. 250 Mitarbeiter
- IPS/IDS
- Intrusion Prevention/Detection System — erkennt und blockiert Angriffe im Netzwerk
- VPN
- Virtual Private Network — verschlüsselter Tunnel ins Büronetzwerk, z. B. für Homeoffice
- UTM
- Unified Threat Management — Firewall-Appliance mit IPS, Virenscanner und Web-Filter in einem Gerät
- NAC
- Network Access Control — steuert, welche Geräte Zugang zum Netzwerk erhalten
- SD-WAN
- Software-Defined Wide Area Network — intelligente Steuerung mehrerer Internetleitungen mit Failover und Load-Balancing
Kostenloses Tool
IP-Check direkt
Öffentliche IP-Adresse und DNS-Server direkt anzeigen — hilfreich beim Testen von VPN-Verbindungen, Firewall-Routing und DNS-Leak-Checks.
PURITS Leistung
Netzwerk, Firewall & Security
ipfire oder Fortigate einrichten, VLANs segmentieren, VPN aufbauen und Netzwerksicherheit für euer Büro umsetzen — pragmatisch und ohne Overengineering.