Mamy w firmie sieć składającą się z około 70-ciu komputerów. Bramą do internetu z natem jest serwer z Debianem. Rozbudowaliśmy szafę i mam fundusze na kupno zapory sieciowej. Rozglądam się za różnymi urządzeniami (w tym też klasy UTM). Bardzo ciekawie pod względem funkcjonalności wyglądają Stormshield-y. Niestety wymagają corocznego odnawiania licencji co oczywiście kosztuje. Czy macie jakieś sugestie na jakich jeszcze urządzeniach skupić swoje poszukiwania?
Dosyć popularne są produkty firmy WatchGuard. Proponuję je sprawdzić. Wszystko zależy od Waszych funduszy. W pewnych wypadkach najlepszym finansowym rozwiązaniem jest jednak zapora zrealizowana w postaci peceta z jakimś systemem BSD.
Nie wystarczy jakiś Mikrotik? MT bazuje na Linuksie, więc masz tam IPTables.
Wydaje mi się że najlepszym rozwiązaniem będzie PFsense + jakaś do tego skrzynka 
Np.
Na upartego (ale to jest jeszcze w fazie bety z tego co się nie mylę i nie wiem jak z wydajnością takiej skrzyneczki) takie coś:
Zależnie od Twoich potrzeb możesz kupić też dowolny serwer/komputer i wtedy wkładasz karty sieciowe jakie chcesz np. 4x10GbE robisz Vlany i polityki O dziwo karty nie są aż tak drogie jak się nie przegina A jak nie potrzeba 10GbE, to bawisz się w karty 1GbE. Kwestia czego tak na prawdę potrzebujesz, czy masz switche zarządzane i czy chcesz aż tak zabezpieczać sieć (co bym sugerował, bo wydzielonymi fragmentami sieci się zarządza bardzo fajnie i podnosi to zdecydowanie bezpieczeństwo).
Inna opcja to też postawienie tego na wirtualizacji Wtedy koszty to w zasadzie zero zł Chodź pasowałoby chociaż wydzielić fizyczną kartę sieciową na wejście, a potem wirtualnymi rozdzielać po wewnętrznej sieci. Ostrzegam tylko, że z nowym PFsensem gryzie się XEN.
Do PFsensa możesz dograć jeszcze pluginy itp. np. z antywirusem, rejestrowaniem ruchu itp. Sam PFsense jest darmowy, ale ma wersję abonamentową, tak jak XEN, ale…nie potrzeba abonamentu w ogóle do działania PFsense’a.
Bez sensu. Wydać 1000zł na coś kiepskiego, żeby wgrać tam pFsense, zamiast skorzystać z profesjonalnych rozwiązań. Za 1000 zł spokojnie kupisz Mikrotika z 10 portami GigabitEthernet. Spokojnie może słuzyć jako zapora, router, koncentrator VPN. Nie ma sensu pakować kasy w coś co nie wiadomo jak będzie działać, nie w profejsonalnych rozwiązaniach w firmach, w których się pracuje. Takie cuda to sobie można w domu mieć jako ciekawostkę.
Może Cię zdziwię, ale PFsense nie jest kiepski i obsługuje na prawdę wiele mi znanych firm i nie są to firmy rzędu 50 osób itp. tylko więcej i świetnie się sprawdza. Co do elektroniki którą dałem to po prostu zawsze staram się robić własną rzeźbę która do tej pory mnie jeszcze ani jeden raz nie zawiodła, a są to na tyle tanie rozwiązania, że można wprowadzić od razu redundancję rozwiązania i jest nawet bezpieczeniej. Wolę takie coś niż np. Fortigate’a któremu osobiście nie ufam.
Nie pisałem o pfSense, że jest kiepskie. Oczywiście, jak ktoś chce, to może rzeźbić. Jak ktoś jeszcze rzeźbi z głową to pół biedy, póki co to po takich rzezbiarzach tylko sprzątam, bo działa to jakby chciało, a nie mogło i z czasem wszystko pada przy pierwszej lepszej próbie modernizacji.
A to się nie dziwię, bo sam nie raz widzę różne niefajne rzeźby i rzeczywiście jest z tym więcej zabawy niż jest to warte, ale osobiście właśnie wolę kupić jakieś dwie tańsze maszynki (np. serwery DELL’a) i z robić z nich HA, niż płacić więcej za np. Fortigate’a, który wyjdzie sporo drożej, nie wspominając o corocznych opłatach licencyjnych w wysokości ~25tyś zł…nie dość że tańsze, to jeszcze masz redundantność ( owszem na np. Fortigate’cie też zrobisz HA, ale patrz cena ). Co do jakości np. PFsense VS np. Fortigate’a to zdania są podzielone, ale w poważnej firmie które zależy na prywatności, to nawet nie sugerowałbym Fortigate’a, bo nie wiadomo co tam do końca siedzi, a sadząc po ostatnich wyciekach, to nic dobrego, a przynajmniej NSA ma pełny dostęp…
Rozwiazania dobiera się pod firmę. Jak to nie korpo, to nie ma sensu ładować 20k w takie rozwiązania.
Napisz proszę, czego właściwie potrzebujesz od tego urządzenia. Od tego tak na prawdę zależy dobór sprzętu.
[Przemek]
W wielkim skrócie potrzebujemy zapory spełniającej następujące założenia:
1. Urządzenie musi być bramą do internetu z translacją NAT oraz serwem DHCP dla
dwóch fizycznych sieci (192.168.1.0/24 oraz 10.0.0.0/16)
2. System antywirusowy i antyspamowy, monitoring sieci, filtrowanie URL, IPS,
3. Kształtowanie i ograniczanie przepustowości łącza (QoS) ze względu na niską
przepustowość. Obecne łącze ze względu na ograniczone warunki techniczne osiąga
zaledwie prędkość w granicach 16-18 Mbit/s. W planach jest instalacja
światłowodu.
4. Obsługa tuneli VPN.
Drugi punkt wskazuje na rozwiązanie UTM, ale zwykły firewall bez tych funkcji też rozważam.