Tűzfalat milyet?

Hálózatok általános

Úgy néz ki végre lecserélhetjük az ISA 2000 tűzfalunkat. Ti milyen, akár szoftveres, akár hardveres tűzfalat választanátok az alábbi igények alapján?

- 60-70 user
- kártevőszűrés
- alakalmazás-szintű szűrés
- tartalomszűrés (pl. a nem kívánt alkalmazás-protokollok, weboldalak blokkolása)
- VPN kezelése

nem feltétlen szükséges, de ha tudja nem baj:
- vírus és spam szűrés
- grafikus admin felület

Illetve kérdezem, hogy a tapaszatalataitok alapján mire érdemes a kiválasztás során figyelni?

  • 1528 megtekintés

( xclusiv v | 2010. 01. 14., cs – 17:36 )

hát a spam szűrés szerintem nem igazán tűzfal feladat. Illetve egy pénzösszeg se ártana

( mn3monic v | 2010. 01. 14., cs – 18:00 )

Mi untangle-t használunk, az ezt mind tudja.

( Pingvinpasztor | 2010. 01. 14., cs – 19:14 )

Csak arról tudok beszélni, amit használtam. Volt 1 Smoothwall open communiti x86-64 Athlonnal, hagyományos pc, nem igazi szerver 2Gb rammal, egészen jól kezelhető, webes felületből menedzselhető, csak nem olyan jól paraméterezhető mint az IP-Cop. Tartalamat is szűrtem vele, de amikor 100-150 felhasználó egyszerre próbált kiállni a netre, az megterhelte. Az Ip-Cop 40-50 felhasználóig 1 régi p4-en 1Gb rammal egészen jól működött, de aztán az is feladta. Jelenleg 1 1u-s Routerboard-1000-es végzi a tűzfal és proxy feladatokat, ár teljesítmény viszonyban egészen baráti, rendes hálózati processzorra van bízva a hálózati munka :) és az 512 Mb ram is elég. Van benn 2db CF foglalat, amibe microdrive-ot is tehetünk, beágyazott linux //RouterOs// van rajt, és ha valaki nem viszolyog a nem opensource alkalmazástól, akkor ez egészen jó megoldás. A 350-400 wines munkaállomást nagyon szépen kiszolgálja. Ja és a boot ideje 2mp !!! Viszont a winbox a wine-on, amiből graf felületen érhető el, nem túl csinos. Próbáltam 1 Endiant is, nagyon látványos, de alapjáraton is erőforrásigényes.
A fent leírt rendszerknek magas a marketing értéke, meg lehet mutatni a főnöknek, ki lehet exportálni a mindenféle logokat táblázatba, grafikonba, "pitébe".
Ezek relatíve olcsó megoldások. A "nagy és neves" gyártóknak vannak mindenféle HW és SW alkalmazásai, amik nagyságrendekkel többe kerülnek, ennek szerintem 60-70 felhasználónál, ha nem minősített munaállomások, nincs létjogosultsága.
Ha "csak magadnak" csinálod a tűzfalat, és nem kell csiriviri grafikus látványinformatika, akkor elég a linux kernelbe épülő iptables, vagy a felette futó ipset, a proxizáshoz jó a squid. Sokat kell hozzá olvasni, ha még nem csináltál ilyent, de a fórumokon mindig van segítség. :)

( ricsip v | 2010. 01. 14., cs – 19:33 )

Forefront TMG :D (hacsak nem az a cél h. MS-től minnél messzebb)

ISA 2k-hoz képest elég sok mindent tud (nah jah, 10 év korkülönbség)

OpenBSD jó, de az alól nem tudsz alkalmazásszűrést csinálni, márpedig ez feltétel volt. Én is azt használtam évekig, de pont az alkalmazásszűrés hiánya miatt váltottam Linux-ra.

--------------------
Tegnap beállított hozzám egy Tyrannosaurus Rex és Hamlet. Volt nagy dinóm-dánom...

( uid_16401 | 2010. 01. 14., cs – 21:56 )

szerintem azt amihez a legjobban értesz, vagy amit hajlandó vagy megismerni.