Router választás kisvállalati felhasználásra

Hálózati eszközök

Üdv mindenkinek!

Router tűzfal választásban kérnék javaslatokat, tapasztalatokat. Valaki használta már ezeket ,akkor véleményt mondhatnátok. Olvastam sok rosszat is meg jót is az alábbi routerekről.
Alkalmazási környezet: 50 internetre csatlakoztatott eszköz.

Követelmények
- Dual wan failover
- maximális költség: 250 eFt
- WIFI nem szükséges
- Rosszindulatú szoftverek elleni védelem tűzfallal, víruskeresővel, spam- és tartalomszűrővel, IDP-vel, újgenerációs alkalmazás szabályozással és SSL figyeléssel.

Válogatott márkák: - ZyXEL USG60 Tűzfal
- DrayTek Vigor 2960 Router
- Fortinet - FortiGate FG-50E

Vagy ha van jobb, akkor azt is javasolhatnátok.

Kösz a segítséget!
üdv.

  • 3692 megtekintés

( szollosiimre | 2018. 07. 15., v – 14:58 )

50E-re nem feltétlen bíznék 50 felhasználót, ha nagyon erősen belerakod a funkciókat. SSL deep inspection, meg AV.

Ha cert inpection van, és nincs kihajtva az eszköz, elég lehet. Strapabíró. 5.6-os ággal használd, 6ossal még ne.

( answ | 2018. 07. 15., v – 15:54 )

"maximális költség: 250 eFt"

Marmint CAPEX? OPEX nem is szamit?

Peldaul Fortigate FG-50E kb 400-500 USD, de FortiCare es FortiGuard UTM Protection az kb 600 USD evente hozza (vagy 5 evre elore fizetve kb 1600 USD).

Ahogy keresgélek, vizsgálódom látom kevés a 250 eFt.
Ezt a feltételt módosítom 350 eFt-ra. Ennél többet nem adnak sajnos.
Saját szerverrel elkészítve a hardver is drága lenne.
Látom ezek a cégek jól kitalálták a licencelési stratégiájukat.

Saját szerverrel milyen hatékonyságot lehetne elérni?
linux szerver + tűzfal + squid proxy + squidguard + Suricata IDS

Ahogy keresgélek, vizsgálódom látom kevés a 250 eFt.
Ezt a feltételt módosítom 350 eFt-ra. Ennél többet nem adnak sajnos.

Mármit Te egyszeri beruházásról beszélsz?? :)
Ki kell ábrándítsalak, a security nem olyan business, hogy megveszel egy dobozt, aztán hátradőlsz.
Otthonra még okés ez a hozzáállás, de céges megoldás esetén hatalmas öngól.

Itt a fix egyszeri költség csak az eszköz maga,
rednszeres pedig a licencek/frissítések, + a folyamatosan üzemeltetés/monitorozás/karbantartás.

Saját szerverrel milyen hatékonyságot lehetne elérni?
linux szerver + tűzfal + squid proxy + squidguard + Suricata IDS

Hozzáértéssel sokkal jobb is lehet, mint a nagycéges dobozok.
Ám ezesetben is CSAK a licenköltségeket spórolod meg, mert hardwert ugyan úgy venni kell alá, és nem utolsó sorban kell egy hozzáértő aki össze is pakolja neked az ingyenes szoftverekből a működő megoldást.

A végeredmény leginkább attól függ mennyire ért hozzá az üzemeltető (csapat).
De az "ennél többet nem adnak" kijelentés alapján saját embered erre nem lesz...

--
zrubi.hu

Amellett, hogy nagyjából egyetértek azzal, hogy nyílt forráskóddal is lehet egészen jó eredményt elérni UTM témában, azért a licencköltség ott is fel fog merülni. Én nem tudok olyan normálisan karbantartott URL blacklist adatbázisról, ami pl. Squid-hez kommerciális felhasználásra ingyenes lenne. Ugyanez áll a Suricata/Snort IDPS-re. Az ET Pro és Snort VRT rulesetek bizony fizetősek. A Communtity Ruleset-ek meg alapnak jók, de a frissítésük késleltetett. Clamavnál szintén ez a helyzet. A naprakész malware adatbázisok nagyrészt fizetősek. Következő versenyző mod_security WAF OWASP core kivételével fizetős.
Spam szűrő RBL listák nagy része kommerciális felhasználásra fizetős, egy két kivételtől eltekintve.

Ha tud valaki egy jól összeszedett naprakész listát a kommerciális felhasználásra is free adatbázisokról ne tartsa vissza.

Én az OS, és a megoldáshoz használt szoftverek-re gondoltam, szemben az user/session/akármi alapján licencelt dobozos megoldásokkal. Azt jól látod, hogy ezesetben is kell(het) licencelt megoldás, ami megint + költség...

szerintem érthető is, hogy ilyet senki nem ad ingyen.

--
zrubi.hu

Természetesen tisztában vagyok a későbbi licencköltségek alakulásával. Itt most az eszköz kiválasztás költsége az adott, esetleg + 1 év security csomag (IDP, AV Kaspersky, AS).

A válogatások után eddig a ZYXEL Tűzfal USG110-PLUS with 1-year license bundle: IDP, AV Kaspersky, AS Commtouch, CF Commtouch a legszimpatikusabb.

( an-dee | 2018. 07. 15., v – 16:22 )

Egy 350 useres helyen volt Fortigate (tipusra nem emlékszem), illetve 2, de csak a baj volt vele. Mondjuk az volt a ciki amikor azért nem volt net, mert lejárt a licenc, ezen jót nevettem, de nem én foglakoztam vele, csak láttam szenvedni a többieket.

Nekem Zyxelről jó véleményem van, és ha kedves vagy velük vagy keresel egy viszonteladód (nem nagykert) akkor lehet hogy kaphatsz egy teszt készüléket is.

ui: esetleg irj privátot rákérdezek erre a dologra ha szükséges

--
ESET és Synology hivatalos viszonteladó

Hint: license lejárta miatt a net nem tud elmenni. Bundle csak az utm funkciókra ér + az eszköz garanciára. Olyan előfordulhat, hogy a webfilter visszaszól, ez előtt viszont automata figyelmezteti mind a kereskedőt, mind pedig a felhasználót arra, hogy ha szeretn, hosszabbítson.

( zz7 | 2018. 07. 15., v – 16:53 )

Egy éve megy nálunk az irodában Sophos SG105w és egyelőre nagyon elégedettek vagyunk vele. Egy kicsivel többe kerül 3 évre mint a kijelölt összeg, de gondolom ezek is mindig változnak, változhatnak.
Baj eddig nem volt vele, jól működik, csak jól be kell állítani.
Nálunk kb. minden védelem bekapcsolva állapotban kb. 75 Mbps-t tud csak, de kis irodának elég. Gondolom ha nagyobb sebesség kell erősebb vasat kell vásárolni, vagy saját erősebb hardware-en futtatni a software verziót.
A Sophos UTM Home software verzió 50 belső IP-ig ingyenes otthoni felhasználóknak, nálam itthon ilyen megy. Software oldalon ugyanaz mint ami az SG105w-ben benne van.

( Boxer88 | 2018. 07. 16., h – 21:57 )

A válogatások után eddig a ZYXEL Tűzfal USG110-PLUS with 1-year license bundle: IDP, AV Kaspersky, AS Commtouch, CF Commtouch a legszimpatikusabb.

ZYXEL tűzfalakkal van-e valakinek tapasztalata?

( kojot | 2018. 07. 17., k – 09:03 )

DrayTek ... úgy ahogy van, az egész márka felejtős !

Rengeteg problémám van vele, örülnék ha egy villámlás agyoncsapná az ügyfélnél.
Rengeteg értelmetlen korlátja van. Pl a 60 az azt takarja pl, hogy ennyi port forwardot tudsz vele megcsinálni.
Állandóan kifagy valamelyik része, hiába írtam többször a supportnak. Csinál olyat, hogy mindenki netezik, de 1-2 gép bár kap IP-t, nekik nincs internet. Csak kibekapcs után jön helyre, néha elég az újraindítás is.

Tényleg, ilyenkor mi van a garanciával? Hardware-t vettem vagy software-el együtt értendő? Tehát ha azt mondom a szerviznek hogy az eszköz hibásan működik akkor bevizsgálnák a hardware-t, azt mondnák hogy az hibátlan, a software hibákra meg semmilyen garancia senkinél nincs ugye. És így maradna az enyém a megvásárolt hibásan működő tűzfal. Ez kb. így működne hasonló hibás működésnél egy ilyen hardware-software egybe eszköznél, vagy máshogy?

( hackac | 2018. 07. 17., k – 13:04 )

Stormshield? Bérelheted is, és akkor nincs egyszeri beruházási költség.

A legtöbb UTM-be integrált SPAM szűrő megoldás eleve nem veszi fel a versenyt egy erre kitalál szoftverrel/appliancevel. De általában beleteszik, hogy ez is legyen benne. Sztem egy átlag UTM-ben lévő védelmi layerek közül ez áll a leggyengébb lábon. Nem mondom hogy nem ér semmit, de a fals negatív vagy pozitív arányod mindig nagyobb lesz, és hiányoznak belőle értelmesebb funkciók.
A többi réteg (az IPS és app control kivételével) kevésbé szór, bár ott meg a threat intelligence feed minősége a meghatározó. Egy URL filtert azért nem nehéz implementálni, de hogy mit fog meg, az már a feedtől függ.
Aztán jönnek a szokásos (support minősége és forrásai, nyelve, fenntartási költségek, stb.) kérdések még :)

2014-ben írtam egy szakdolgozatot a témában, feldobtam ide az adattábla részét: https://ufile.io/5i9o6
2014-es, szóval elavult. De a szempontrendszere kiindulási alapnak jó :)

Tényleg érdekes jól összeszedett szempontrendszer noha nem megy bele túl technikai részletekbe - talán nem is kell/lehet ebben a formában - azért felvillantja hogy mennyi minden technológia, részterület megtalálható, az adott szituációban éppen releváns funkció/feature minősíthető egy ilyen esetben.
Külön tetszik hogy megkísérli a gyártók (és nem a termék) hátterének pozicionálását is.
(Mondjuk engem érdekelne a szakdolgozat is, ha elérhető/publikus, akár magánban is)
Sajnos a témagazdának lehet kevésbé add választ a konkrét szituációban mivel a játékban maradt és az itt vizsgált gyártók között kicsi az átfedés, nekem azért a FortiGate előnye kirajzolódik, de lehet hogy csak mert elfogult vagyok felé és jobban rááll a szemem az erősségeire.

Este feldobom a szöveges részt is. Sokat ne várjatok tőle, szakdolgozatnak készült :) Azaz van sok felvezetés és történeti dolgok is. A táblázat kapcsán már csak inkább körbemagyarázás.
Mivel közszférában dolgozom bele van kavarva a NISZ is. A Zorp meg azért került bele az UTM-ek közé (mert ugye nem az), mert azt akartam lecserélni. És akkor már hasznosítható legyen a szakdolgozat.

Forti vs többi: kinek mi :) A StormShieldhez viszonyítva a koncepcióban ott a nagy eltérés, hogy a Forti hardverből old meg bizonyos dolgokat, így ha pps-t nézek, mindig tudja hozni. Ellenben egyszer csak már nem tudsz új firmware-t húzni rá, mert azt a hardware verziót nem támogatja. Emellett az nem tetszik nekem benne, hogy a teljesítményéhez képest ha ráteszed az AV-t és beleállsz az SSL-be, akkor a doboz teljesítményének a töredékét tudja csak. Ezért kell felülméretezned. A stormShield meg (IPSec offload kivételével) prociból számol. Sokkal tovább kapsz friss firmwaret (featureket) hozzá, de a teljesítménye annyira nem kiszámítható mint a Fortié, ezt ezért kell felülméretezni. De közel sem fogja annyira limitálni az AV+SSL kibontás, mint a Fortit.

Nálam a Hardveres támogatás igencsak jó pont, de értelek.
Igazából mivel az tényleg erős, a kisebb dobozokon ugyanakkor a CPU elég soványka volt régebben és ebből adódott hogy ott a GB-es Firewall Troughput értékhez képest a néhány 10 Mbitre is leeső teljesítmény fáj, mert már ebben a szegmensben is megjelentek az elég vastag lakossági hozzáférések.
Mondjuk ezeket az értékeket is kommunikálja az adatlapokon, ami én azt gondolom elég részletesen (és pédamutatóan) megadja a teljesítményeket (SSL Inspection,Application Control, NGFW,Threat Throughput) komplexebb esetekben is.
Ezzel kell méretezni, bár az tény hogy szerintem az sosem egyszerű az UTM-eknél.
Azért a mostani E-s generációban ez már nem probléma és az nem ijed meg a manapság már otthoni néhány 100MB-es szűrési igénytől az alsó belépő kategória sem.
Én mondjuk a firmware támogatást sem érzem túl hamar kifutónak.
Pl a C-s szériából a 80C-re (megjelenése valamikor 2010-ben) most is elérhető az aktuális stabil 5.6 bár a pár hónapja megjelent 6.0 már valóban nem támogatott ezen a vason.
Ezért valószínűleg már az 5.6 támogatásának végéig (2021-09-30) ezen lehet üzemeltetni ezt a dobozt és tény hogy ezen időszak utolsó harmadában már csak hibajavítások eshetnek be és már nem fogja elérni az újabb verziók, újabb funkcióit.

( Boxer88 | 2018. 07. 19., cs – 16:35 )

Palo Alto PA-220 az új versenyző. Jellemzői elég biztatóak.
Sajnos vírusszűrés nincs benne.

( lmarton | 2018. 07. 19., cs – 17:24 )

Mietrt nem teszel egy pfSense-t sajat vasra ?