Перейти к содержимому


Фото

Выбор межсетевого экрана


  • Чтобы отвечать, сперва войдите на форум
22 ответов в теме

#1 Оффлайн   markII

markII

    Магистр флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 10 491 Сообщений:
  • Авто:Квадратик

Опубликовано 17.04.2019 - 12:56

Задумался о выборе межсетевого экрана (файрвола)

примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.

кто что использует и что посоветуете?


  • 0
Магическое сочетание почти всех клавиш, способное свалить ось на ноуте, известно только моему коту. Не забывайте прикрывать ноут хотя бы наполовину каждый раз, как отворачиваетесь от него!
Я боюсь что однажды не смогу справится с бедой, а друг и не друг, а так...

#2 Оффлайн   igrek

igrek

    Сказочник

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 14 226 Сообщений:
  • Авто:Opel Insignia 2.0 AT Turbo + Infiniti Q50 2.0 AT Turbo

Опубликовано 17.04.2019 - 13:35

У нас используется Cisco ASA


  • 0

Родился, учился, трудился, умер, пенсия!


#3 Оффлайн   duboff

duboff

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 5 026 Сообщений:

Опубликовано 17.04.2019 - 13:38

По хорошему надо озвучить бюджет 

или условие что свободные решения 

 

pdsense ? 


  • 0

#4 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 17.04.2019 - 13:52

Задумался о выборе межсетевого экрана (файрвола)

примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.

кто что использует и что посоветуете?

я когда-то использовал длинки. нормально и недорого. если есть желание полного контроля над происходящим, то банальный iptables рулит.


  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#5 Оффлайн   AleM

AleM

    Магистр флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 20 873 Сообщений:
  • Авто:Рено

Опубликовано 17.04.2019 - 13:55

Asus RT-AC68U - глюков не обнаружил. Позволяет подключится извне в офис по OpenVPN.


  • 0

#6 Оффлайн   SEORostov

SEORostov

    Кавалер ордена флейма

  • Ожидающие
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 855 Сообщений:
  • Авто:Das Auto.

Опубликовано 17.04.2019 - 14:05

pfsense + железка под него


  • 0

#7 Оффлайн   faddist

faddist

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 974 Сообщений:
  • Авто:уже не FF2

Опубликовано 17.04.2019 - 14:33

Задумался о выборе межсетевого экрана (файрвола)

примерно 40 компьютеров, желателен веб интерфейс, отдельная железка.

кто что использует и что посоветуете?

Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.

А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.

С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.


  • 1
Не жалей о том, что радости было мало – этим ты приобретешь еще одну печаль.

#8 Оффлайн   igrek

igrek

    Сказочник

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 14 226 Сообщений:
  • Авто:Opel Insignia 2.0 AT Turbo + Infiniti Q50 2.0 AT Turbo

Опубликовано 17.04.2019 - 14:50

Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.

А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.

С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.

Это про что именно?

На ту же Cisco ASA всё в наличии, и сертификаты тоже.


  • 0

Родился, учился, трудился, умер, пенсия!


#9 Оффлайн   duboff

duboff

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 5 026 Сообщений:

Опубликовано 17.04.2019 - 15:12

Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.

А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.

С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.

Ну забить врядли 

Потому что куча программ друг перестанет работать 

Внезапно :) 


  • 0

#10 Оффлайн   faddist

faddist

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 974 Сообщений:
  • Авто:уже не FF2

Опубликовано 17.04.2019 - 15:43

Это про что именно?

На ту же Cisco ASA всё в наличии, и сертификаты тоже.

Это про то, что реальная защита и защита на бумаге - разные направления, соответственно нужно понимание для чего делается: для защиты данных или для подготовки к проверке по защите данных.

 

Ну забить врядли 

Потому что куча программ друг перестанет работать 

Внезапно :)

Смотря как внедрять :)

Но я подразумевал будет ли человек анализировать что происходит на сетевом экране и производить ответные манипуляции (блокировать соединения при попытках взлома, искать червей и вирусы при подозрительном трафике и т.д.


Изменено: faddist, 17.04.2019 - 15:44

  • 0
Не жалей о том, что радости было мало – этим ты приобретешь еще одну печаль.

#11 Оффлайн   Inetman

Inetman

    The Drot

  • Модератор
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 56 716 Сообщений:
  • Авто:Белогривый ЛевЪ

Опубликовано 17.04.2019 - 15:46

Но я подразумевал будет ли человек анализировать что происходит на сетевом экране и производить ответные манипуляции (блокировать соединения при попытках взлома, искать червей и вирусы при подозрительном трафике и т.д.

 

Ну и человеки там у вас! Терминаторов бы делать из этих людей!


  • 0

Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт


#12 Оффлайн   duboff

duboff

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 5 026 Сообщений:

Опубликовано 17.04.2019 - 16:22

Ну и человеки там у вас! Терминаторов бы делать из этих людей!

Не , скорее вот такой  -  

3294154-6621602266-28355.jpg


  • 0

#13 Оффлайн   markII

markII

    Магистр флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 10 491 Сообщений:
  • Авто:Квадратик

Опубликовано 18.04.2019 - 08:23

По хорошему надо озвучить бюджет 

или условие что свободные решения 

 

pdsense ? 

бюджет просто - чем дешевле тем лучше. качество должно не пострадать. ((

в общем денег нет но вы держитесь.

только железка. бюджет думаю где-то в пределах 30 т. руб.

Asus RT-AC68U - глюков не обнаружил. Позволяет подключится извне в офис по OpenVPN.

посмотрим

епта. и как он держит даже более 20 человек?

Для начала нужно сформулировать для себя цели от внедрения, кто будет внедрят, будет ли контроль работы этой железки и бюджет.

А то можно насоветовать целый комплекс устройств, который будет сыпать оповещенями о событиях, а можно настроить правила фильтрации на маршрутизаторе и забить на это.

С точки зрения Российских норм информационной безопасности оба варианта равнозначны и практически бесполезны, ибо нет ни одного сертификата.

цели внедрения? не смеши. внедрять буду я, контролировать тоже буду я.

На Российские нормы я давно забил. ибо мы не гос компания.


  • 0
Магическое сочетание почти всех клавиш, способное свалить ось на ноуте, известно только моему коту. Не забывайте прикрывать ноут хотя бы наполовину каждый раз, как отворачиваетесь от него!
Я боюсь что однажды не смогу справится с бедой, а друг и не друг, а так...

#14 Оффлайн   Inetman

Inetman

    The Drot

  • Модератор
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 56 716 Сообщений:
  • Авто:Белогривый ЛевЪ

Опубликовано 18.04.2019 - 09:17

только железка. бюджет думаю где-то в пределах 30 т. руб.

 

Посмотри на Huawei USG 6000-й серии или Микротик CCR 1000-й. И тем и тем пользуемся, Хуавей более надёжный (хотя ~1 сбой в год не очень существенен, КМК), Микротик же существенно проще в настройке.


  • 0

Глупо надеяться совершить что-то глобальное, например, установить мир во всем мире, устроить счастье для всех, но каждый может сделать какое-нибудь маленькое дело, благодаря которому мир станет хоть чуточку лучше.
К примеру, застрелить кого-нибудь. © сир Терри Пратчетт


#15 Оффлайн   faddist

faddist

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 974 Сообщений:
  • Авто:уже не FF2

Опубликовано 18.04.2019 - 09:40

бюджет просто - чем дешевле тем лучше. качество должно не пострадать. ((

в общем денег нет но вы держитесь.

только железка. бюджет думаю где-то в пределах 30 т. руб.

посмотрим

епта. и как он держит даже более 20 человек?

цели внедрения? не смеши. внедрять буду я, контролировать тоже буду я.

На Российские нормы я давно забил. ибо мы не гос компания.

Ок, тогда по простому:

1. Не указано количество каналов и какой трафик (объем и наличие реал-тайм трафика) должна переваривать железка.

2. Что защищать или что она должна резать: насколько извращенные правила (а то бывают люди которым нужна простая железка, а потом оказывается, что она не умеет резать трафик по доменным именам) и их количество (это сказывается на производительности).

3. Требуется ли какие-то фичи: IPv6, QoS и т.д.

4. Требуется ли детектор атак - прикольная штука. Наши безопасники в сети нашли несколько зараженных машин, на которых антивирус говорил что все ок.

 

 

ЗЫ из того что нравилось в работе и что лезет в бюджет:

 - системник + Linux и iptables. Для обывателей бывают уже готовые сборки с различными интерфейсами

 - D-Link DFL-860E, есть более старшая 2560 (а сейчас уже может быть и следующее поколение этих железок) - только там нужно мануал скурить, чтобы понять логику, но потом все легко. Даже 860 умеет балансировать трафик на бумаге (на практике не пробовал, т.к. трафик уходил либо в Инет, либо в VPN)


  • 0
Не жалей о том, что радости было мало – этим ты приобретешь еще одну печаль.

#16 Оффлайн   duboff

duboff

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 5 026 Сообщений:

Опубликовано 18.04.2019 - 09:45

>>

ЗЫ из того что нравилось в работе и что лезет в бюджет:

 - системник + Linux и iptables. Для обывателей бывают уже готовые сборки с различными интерфейсами

 

Это гламур для девопсов в коротких штанишках  :) 

 

Хардкор -  это OpenBSD + pf :D


  • 1

#17 Оффлайн   zubchello

zubchello

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 3 289 Сообщений:
  • Авто:2 шт.

Опубликовано 18.04.2019 - 09:56

Хардкор -  это OpenBSD + pf :D

а не *bsd + ipfw ?
  • 0

#18 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 18.04.2019 - 09:58

 

Это гламур для девопсов в коротких штанишках  :)

 

ты просто не знаешь, что он умеет. и да, большая часть аппаратных будет на iptables, точнее netfilter.


  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#19 Оффлайн   Nimnool

Nimnool

    Четырежды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 8 924 Сообщений:
  • Авто:Duster

Опубликовано 18.04.2019 - 10:17

D-Link DFL-870 Гигабитный межсетевой экран NetDefend с 6 настраиваемыми портами
https://market.yande...-offers-first=0

Данный межсетевой экран оснащен шестью настраиваемыми портами 10/100/1000 Мбит/с, двумя портами USB 2.01, консольным портом с разъемом mini-USB и выполнен в металлическом корпусе с возможностью установки в 19-дюймовую стойку.
DFL-870 обеспечивает полный набор расширенных функций безопасности для защиты, управления и мониторинга сети.
DFL-870 оснащен системой обнаружения и предотвращения вторжений (IDP/IPS), антивирусом, функциями фильтрации Web-содержимого и управления приложениями для проверки и защиты содержимого на седьмом уровне модели OSI.

http://www.dlink.ru/...cts/6/2161.html
  • 0

Нарушителями правил дорожного движения не рождаются - ими умирают.         

 
Не стоит ездить быстрее, чем летает твой ангел хранитель !!!

Поживем - увидим, доживем - узнаем, выживем - учтем.


#20 Оффлайн   duboff

duboff

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 5 026 Сообщений:

Опубликовано 18.04.2019 - 10:52

а не *bsd + ipfw ?

ipfw только на фре 

а  pf ( точнее ipf) даже на солярке работает 


  • 0

#21 Оффлайн   artarik

artarik

    Герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 1 776 Сообщений:
  • Авто:ТАВОТА, управляй мечтой

Опубликовано 18.04.2019 - 13:16

Циска со всеми лицензиями будет стоить как крыло от самолёта.
Микротик Ван лав.
Хап ас2 с головой

Изменено: artarik, 18.04.2019 - 13:16

  • 1

#22 Оффлайн   sova69

sova69

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 453 Сообщений:

Опубликовано 18.04.2019 - 16:19


pdsense ? 

У нас на прошлой неделе сломался StoneGate 315 WF (поставлялся вышестоящим офисом)

сейчас прешли на pFSense, по рекомендации вышестоящего офиса, на компе c CPU Intel Core i3  Memory 4 Gb c 4 сетевыми картами (1 встроенная + 2 pci +1 PCi-e) диск поставили какой был новый на 500 гб, вот воюем с настройками уже 2 неделю

посмотрим на сколько такого фаервола с шифрованием хватить


Изменено: sova69, 18.04.2019 - 16:38

  • 0

#23 Оффлайн   Diogen

Diogen

    Штандартенфлудер

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 8 885 Сообщений:
  • Авто:Бегемот,ПыЖ,Церато,СкайВэйв

Опубликовано 18.04.2019 - 17:35

Микротик Ван лав.
Хап ас2 с головой

я такую юзаю . реально клевая железка . 

 

ЗЫ Если вдруг остановитесь на микротике  захочется сложных queue's (а их обычно хочется ибо это круть ) 

то брать нужно четырехядерный 


  • 0
 
 




0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 невидимых

Яндекс.Метрика