Zapora sieciowa UTM


(Luc3k) #1

Mamy w firmie sieć składającą się z około 70-ciu komputerów. Bramą do internetu z natem jest serwer z Debianem. Rozbudowaliśmy szafę i mam fundusze na kupno zapory sieciowej. Rozglądam się za różnymi urządzeniami (w tym też klasy UTM). Bardzo ciekawie pod względem funkcjonalności wyglądają Stormshield-y. Niestety wymagają corocznego odnawiania licencji co oczywiście kosztuje. Czy macie jakieś sugestie na jakich jeszcze urządzeniach skupić swoje poszukiwania?


(Adax) #2

Dosyć popularne są produkty firmy WatchGuard. Proponuję je sprawdzić. Wszystko zależy od Waszych funduszy. W pewnych wypadkach najlepszym finansowym rozwiązaniem jest jednak zapora zrealizowana w postaci peceta z jakimś systemem BSD.


(roobal) #3

Nie wystarczy jakiś Mikrotik? MT bazuje na Linuksie, więc masz tam IPTables.


(Ayaritsu) #4

Wydaje mi się że najlepszym rozwiązaniem będzie PFsense + jakaś do tego skrzynka :slight_smile: Np.

 

Takie coś

Albo takie

Tu masz listę “oficjalnych”

 

Na upartego (ale to jest jeszcze w fazie bety z tego co się nie mylę i nie wiem jak z wydajnością takiej skrzyneczki) takie coś:

SG-1000

 

Zależnie od Twoich potrzeb możesz kupić też dowolny serwer/komputer i wtedy wkładasz karty sieciowe jakie chcesz np. 4x10GbE robisz Vlany i polityki :slight_smile: O dziwo karty nie są aż tak drogie jak się nie przegina :slight_smile: A jak nie potrzeba 10GbE, to bawisz się w karty 1GbE. Kwestia czego tak na prawdę potrzebujesz, czy masz switche zarządzane i czy chcesz aż tak zabezpieczać sieć (co bym sugerował, bo wydzielonymi fragmentami sieci się zarządza bardzo fajnie i podnosi to zdecydowanie  bezpieczeństwo).

 

Inna opcja to też postawienie tego na wirtualizacji :slight_smile: Wtedy koszty to w zasadzie zero zł :slight_smile: Chodź pasowałoby chociaż wydzielić fizyczną kartę sieciową na wejście, a potem wirtualnymi rozdzielać po wewnętrznej sieci. Ostrzegam tylko, że z nowym PFsensem gryzie się XEN.

 

Do PFsensa możesz dograć jeszcze pluginy itp. np. z antywirusem, rejestrowaniem ruchu itp. Sam PFsense jest darmowy, ale ma wersję abonamentową, tak jak XEN, ale…nie potrzeba abonamentu w ogóle do działania PFsense’a.


(roobal) #5

Bez sensu. Wydać 1000zł na coś kiepskiego, żeby wgrać tam pFsense, zamiast skorzystać z profesjonalnych rozwiązań. Za 1000 zł spokojnie kupisz Mikrotika z 10 portami GigabitEthernet. Spokojnie może słuzyć jako zapora, router, koncentrator VPN. Nie ma sensu pakować kasy w coś co nie wiadomo jak będzie działać, nie w profejsonalnych rozwiązaniach w firmach, w których się pracuje. Takie cuda to sobie można w domu mieć jako ciekawostkę.


(Ayaritsu) #6

Może Cię zdziwię, ale PFsense nie jest kiepski i obsługuje na prawdę wiele mi znanych firm i nie są to firmy rzędu 50 osób itp. tylko więcej i świetnie się sprawdza. Co do elektroniki którą dałem to po prostu zawsze staram się robić własną rzeźbę która do tej pory mnie jeszcze ani jeden raz nie zawiodła, a są to na tyle tanie rozwiązania, że można wprowadzić od razu redundancję rozwiązania i jest nawet bezpieczeniej. Wolę takie coś niż np. Fortigate’a któremu osobiście nie ufam.


(roobal) #7

Nie pisałem o pfSense, że jest kiepskie. Oczywiście, jak ktoś chce, to może rzeźbić. Jak ktoś jeszcze rzeźbi z głową to pół biedy, póki co to po takich rzezbiarzach tylko sprzątam, bo działa to jakby chciało, a nie mogło i z czasem wszystko pada przy pierwszej lepszej próbie modernizacji.


(Ayaritsu) #8

A to się nie dziwię, bo sam nie raz widzę różne niefajne rzeźby i rzeczywiście jest z tym więcej zabawy niż jest to warte, ale osobiście właśnie wolę kupić jakieś dwie tańsze maszynki (np. serwery DELL’a) i z robić z nich HA, niż płacić więcej za np. Fortigate’a, który wyjdzie sporo drożej, nie wspominając o corocznych opłatach licencyjnych w wysokości ~25tyś zł…nie dość że tańsze, to jeszcze masz redundantność ( owszem na np. Fortigate’cie też zrobisz HA, ale patrz cena ). Co do jakości np. PFsense VS np. Fortigate’a to zdania są podzielone, ale w poważnej firmie które zależy na prywatności, to nawet nie sugerowałbym Fortigate’a, bo nie wiadomo co tam do końca siedzi, a sadząc po ostatnich wyciekach, to nic dobrego, a przynajmniej NSA ma pełny dostęp…


(roobal) #9

Rozwiazania dobiera się pod firmę. Jak to nie korpo, to nie ma sensu ładować 20k w takie rozwiązania.


(kchteam) #10

Napisz proszę, czego właściwie potrzebujesz od tego urządzenia. Od tego tak na prawdę zależy dobór sprzętu.
[Przemek]


(Luc3k) #11

W wielkim skrócie potrzebujemy zapory spełniającej następujące założenia:

1. Urządzenie musi być bramą do internetu z translacją NAT oraz serwem DHCP dla
dwóch fizycznych sieci (192.168.1.0/24 oraz 10.0.0.0/16)
2. System antywirusowy i antyspamowy, monitoring sieci, filtrowanie URL, IPS,
3. Kształtowanie i ograniczanie przepustowości łącza (QoS) ze względu na niską
przepustowość. Obecne łącze ze względu na ograniczone warunki techniczne osiąga
zaledwie prędkość w granicach 16-18 Mbit/s. W planach jest instalacja
światłowodu.
4. Obsługa tuneli VPN.

Drugi punkt wskazuje na rozwiązanie UTM, ale zwykły firewall bez tych funkcji też rozważam.