Задумался о выборе межсетевого экрана (файрвола)
примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.
кто что использует и что посоветуете?
Опубликовано 17.04.2019 - 12:56
Задумался о выборе межсетевого экрана (файрвола)
примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.
кто что использует и что посоветуете?
Опубликовано 17.04.2019 - 13:35
У нас используется Cisco ASA
Родился, учился, трудился, умер, пенсия!
Опубликовано 17.04.2019 - 13:38
По хорошему надо озвучить бюджет
или условие что свободные решения
pdsense ?
Опубликовано 17.04.2019 - 13:52
Задумался о выборе межсетевого экрана (файрвола)
примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.
кто что использует и что посоветуете?
я когда-то использовал длинки. нормально и недорого. если есть желание полного контроля над происходящим, то банальный iptables рулит.
Опубликовано 17.04.2019 - 13:55
Asus RT-AC68U - глюков не обнаружил. Позволяет подключится извне в офис по OpenVPN.
Опубликовано 17.04.2019 - 14:33
Задумался о выборе межсетевого экрана (файрвола)
примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.
кто что использует и что посоветуете?
Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.
А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.
С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.
Опубликовано 17.04.2019 - 14:50
Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.
А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.
С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.
Это про что именно?
На ту же Cisco ASA всё в наличии, и сертификаты тоже.
Родился, учился, трудился, умер, пенсия!
Опубликовано 17.04.2019 - 15:12
Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.
А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.
С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.
Ну забить врядли
Потому что куча программ друг перестанет работать
Внезапно
Опубликовано 17.04.2019 - 15:43
Это про что именно?
На ту же Cisco ASA всё в наличии, и сертификаты тоже.
Это про то, что реальная защита и защита на бумаге - разные направления, соответственно нужно понимание для чего делается: для защиты данных или для подготовки к проверке по защите данных.
Ну забить врядли
Потому что куча программ друг перестанет работать
Внезапно
Смотря как внедрять
Но я подразумевал будет ли человек анализировать что происходит на сетевом экране и производить ответные манипуляции (блокировать соединения при попытках взлома, искать червей и вирусы при подозрительном трафике и т.д.
Изменено: faddist, 17.04.2019 - 15:44
Опубликовано 17.04.2019 - 15:46
Но я подразумевал будет ли человек анализировать что происходит на сетевом экране и производить ответные манипуляции (блокировать соединения при попытках взлома, искать червей и вирусы при подозрительном трафике и т.д.
Ну и человеки там у вас! Терминаторов бы делать из этих людей!
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
Опубликовано 17.04.2019 - 16:22
Ну и человеки там у вас! Терминаторов бы делать из этих людей!
Не , скорее вот такой -
Опубликовано 18.04.2019 - 08:23
По хорошему надо озвучить бюджет
или условие что свободные решения
pdsense ?
бюджет просто - чем дешевле тем лучше. качество должно не пострадать. ((
в общем денег нет но вы держитесь.
только железка. бюджет думаю где-то в пределах 30 т. руб.
Asus RT-AC68U - глюков не обнаружил. Позволяет подключится извне в офис по OpenVPN.
посмотрим
епта. и как он держит даже более 20 человек?
Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.
А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.
С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.
цели внедрения? не смеши. внедрять буду я, контролировать тоже буду я.
На Российские нормы я давно забил. ибо мы не гос компания.
Опубликовано 18.04.2019 - 09:17
только железка. бюджет думаю где-то в пределах 30 т. руб.
Посмотри на Huawei USG 6000-й серии или Микротик CCR 1000-й. И тем и тем пользуемся, Хуавей более надёжный (хотя ~1 сбой в год не очень существенен, КМК), Микротик же существенно проще в настройке.
Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт
Опубликовано 18.04.2019 - 09:40
бюджет просто - чем дешевле тем лучше. качество должно не пострадать. ((
в общем денег нет но вы держитесь.
только железка. бюджет думаю где-то в пределах 30 т. руб.
посмотрим
епта. и как он держит даже более 20 человек?
цели внедрения? не смеши. внедрять буду я, контролировать тоже буду я.
На Российские нормы я давно забил. ибо мы не гос компания.
Ок, тогда по простому:
1. Не указано количество каналов и какой трафик (объем и наличие реал-тайм трафика) должна переваривать железка.
2. Что защищать или что она должна резать: насколько извращенные правила (а то бывают люди которым нужна простая железка, а потом оказывается, что она не умеет резать трафик по доменным именам) и их количество (это сказывается на производительности).
3. Требуется ли какие-то фичи: IPv6, QoS и т.д.
4. Требуется ли детектор атак - прикольная штука. Наши безопасники в сети нашли несколько зараженных машин, на которых антивирус говорил что все ок.
ЗЫ из того что нравилось в работе и что лезет в бюджет:
- системник + Linux и iptables. Для обывателей бывают уже готовые сборки с различными интерфейсами
- D-Link DFL-860E, есть более старшая 2560 (а сейчас уже может быть и следующее поколение этих железок) - только там нужно мануал скурить, чтобы понять логику, но потом все легко. Даже 860 умеет балансировать трафик на бумаге (на практике не пробовал, т.к. трафик уходил либо в Инет, либо в VPN)
Опубликовано 18.04.2019 - 09:45
>>
ЗЫ из того что нравилось в работе и что лезет в бюджет:
- системник + Linux и iptables. Для обывателей бывают уже готовые сборки с различными интерфейсами
Это гламур для девопсов в коротких штанишках
Хардкор - это OpenBSD + pf
Опубликовано 18.04.2019 - 09:56
а не *bsd + ipfw ?Хардкор - это OpenBSD + pf
Опубликовано 18.04.2019 - 09:58
Это гламур для девопсов в коротких штанишках
ты просто не знаешь, что он умеет. и да, большая часть аппаратных будет на iptables, точнее netfilter.
Опубликовано 18.04.2019 - 10:17
Нарушителями правил дорожного движения не рождаются - ими умирают.
Не стоит ездить быстрее, чем летает твой ангел хранитель !!!
Поживем - увидим, доживем - узнаем, выживем - учтем.
Опубликовано 18.04.2019 - 10:52
а не *bsd + ipfw ?
ipfw только на фре
а pf ( точнее ipf) даже на солярке работает
Опубликовано 18.04.2019 - 13:16
Изменено: artarik, 18.04.2019 - 13:16
Опубликовано 18.04.2019 - 16:19
pdsense ?
У нас на прошлой неделе сломался StoneGate 315 WF (поставлялся вышестоящим офисом)
сейчас прешли на pFSense, по рекомендации вышестоящего офиса, на компе c CPU Intel Core i3 Memory 4 Gb c 4 сетевыми картами (1 встроенная + 2 pci +1 PCi-e) диск поставили какой был новый на 500 гб, вот воюем с настройками уже 2 неделю
посмотрим на сколько такого фаервола с шифрованием хватить
Изменено: sova69, 18.04.2019 - 16:38
Опубликовано 18.04.2019 - 17:35
Микротик Ван лав.
Хап ас2 с головой
я такую юзаю . реально клевая железка .
ЗЫ Если вдруг остановитесь на микротике захочется сложных queue's (а их обычно хочется ибо это круть )
то брать нужно четырехядерный
0 пользователей, 0 гостей, 0 невидимых