Soovitage mulle nüüd racktivat tulemüüri kuni 300 kasutajat ning 5 vpn tunnelit :: Hinnavaatluse Foorumid

Tanel · HV Guru liitunud: 01.10.2001

Google otsinguga leiab ka -> http://www.google.ee/search?sourceid=navclient&aq=t&hl=et&ie=UTF-8&rlz=1T4GGLJ_etEE256EE256&q=watchguard+certifications

Markos · HV veteran liitunud: 10.04.2002

to vaegkuulja: Ja kui sul see all in one appliance ikaldab, siis ikaldab kogu võrk. IP osa tuleks ikka L7'st võimalikult eemal hoida. Cisco vpn (ipseci implementatsioon) käib läbi igasugustest kohtadest, ka nat ja sõbrad. Konsooli kartvad ja mittevaldavad nö "adminnid" tuleks kõik luuaga kokku pühkida ja saata tööjaamasi installeerima.

kpihus · Kreisi kasutaja liitunud: 14.04.2003

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

kurask · Kreisi kasutaja liitunud: 07.11.2003

kpihus · Kreisi kasutaja liitunud: 14.04.2003

kurask · Kreisi kasutaja liitunud: 07.11.2003

minul käib JA sinna vahele;)

mis ei välista tulevikus koostööd Teiega, tuleb lihtsalt feimipuu kasvama panna eks.

Andrus Luht · itimees.ee liitunud: 11.06.2002

Markos · HV veteran liitunud: 10.04.2002

to vaegkuulja: Ohoh

Enamus nendest kastidest räägib väga edukalt snmp'd.

to kurask: Kuna algandmeid on vähevõitu, siis raske öelda mida sul vaja oleks lõppudelõpuks, nagu ma ütlesin, featuuridest (ja võimsusest) sõltub hind. Igal juhul mina sinuasemel väldiks igasuguseid pessukate otsas ja tavaosside otsas elavaid appliancesi, secu gateway'sid jms. Muidugi, eks suurte Juniperide sees ole ka pessukas ja bsd, aga see on omaette teema. Soe soovitus on, kirjuta endale lahti täpselt mida vajad, prognoosi ja varuga soovitavalt. Näiteks 5 vpn tunnelit võimaldab tavaline Linksys'i seebikas ka edukalt gw to gw modes, throuhput on aga juba omette teema ja selle masina nö ruutimis/nattimisvõimsus on umbes kümnendik sellest mida sul vaja on, või kas ikka on vaja 100M ? äkki reaalselt vajad sellest võibolla 20% ainult, milleks siis raha raisata ? Lisaks, milliseid lisaomadusi see kast veel omama peaks, ruutingprotkollid ? port trunking ? Vlanid jpm.

kpihus · Kreisi kasutaja liitunud: 14.04.2003

Iseenesest võiks muidugi maavõistluse korraldada, WG vs Juniper vs Cisco vs ... Ma ei tea, kas siin teiste tootjate esindajaid räägib kaasa, aga mina olen valmis väljakutse vastu võtma. Zürii ja hindamis kriteeriumid peaksid muidugi täielikult erapooletud olema.

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

kurask · Kreisi kasutaja liitunud: 07.11.2003

Need töötunnid peaks sel juhul keegi kinni ka maksma, soovitatavalt siis tootjate esindajad. Muidu oleks nõus küll, endal olemas pädevad sõltumatud hindajad.
Aga ok, nali naljaks, tööaeg jookseb:)

Andrus Luht · itimees.ee liitunud: 11.06.2002

XR · HV Guru liitunud: 04.11.2001

Andrus Luht · itimees.ee liitunud: 11.06.2002

Etz · HV Guru liitunud: 27.01.2005

Ise....

Vaataks ikkagi Juniperi & Cisco kraami poole...

Käsurealt "suht" suurte võimalustega mõlemad...
Siiski antud "lähte andmetega" tutvudes, Juniper jääks peale...
Samas "on sul tõesti vaja" 100Mbit/s ... ( su küsimuste taset arvestades, siiski ehk mitte....)
Sealt ka oluline rahasääst...
(QoS`ist ehk oled miskit kuulnud...)

Või on see "lahmimise" teema... (vajaks miskit MEGAVÕIMSAT , sest kunagi, ehk....)

Igaljuhul, nagu on siin teemas juba tõestatud...
antud, eelarvest ei jagu... (AIO lahendused on nagu suht "nutused", nagu Markos eelpool tõestas juba)
Software lahendused, on "kehvakesed" (kujuta end olukorras, kus seda jooksutav masin , mingi M$ bugi tõttu üle võetakse...)

Mõelge kah ehk natuke...

Anyway... IGAL adminnil peaks "elementaarne konsooli haridus olema"...

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

Etz · HV Guru liitunud: 27.01.2005

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

Tegelikult nende purkide HTTP viirustõrjest pole mitte midagi kasu, see on täiesti maha visatud raha. Asi on selles, et ega siis ükski müür ei kontrolli webi kaudu liikuvaid viirusi kõikide portide peal (see vajaks mingit superarvuti võimsust siis juba), vaid ikka 80 ja veel lisaks mingid adminni poolt määratud. Nüüd oleks väga naiivne loota, et viiruse levitajad on nii lollid, et lasevad viirusi downloadida 80 pordi peal, et müüri viirustõrjele lausa kandikul oma pahalane ette sööta. Ei, need võivad liikuda suvalise pordi peal, nii et müüri viirustõrje isegi ei liiguta ennast. Admin võib ju teised pordid kinni panna, ainult siis ei avane ka pooled legaalsed webisaidid, kuna reaalses elus toimub webiliiklus mitte ainult 80 vaid suvaliste muude portide peal.
Ainus võimalus on kontrollida webiliiklust vahetult enne proxy'sse sisenemist, kus kõik jookseb ainult kindla pordi peal. Nüüd aga otsiks mingit purki kus on kõik müür, viirustõrje ja proxy koos. Neid on olemas, kuid hind ei tule enam sugugi 30K kanti, vaid on palju ulmelisem. PC peal aga on selline valik suurem ja ka hinnad odavamad. Kui aga tahta purki ainult müüriga, ilma viirustõrje ja proxyta, siis milleks üldse tarkvara poole eest raha maksta - seda tarkvara on saada tasuta ja nõrkemiseni. Ning viimase-peal raua leiab ka PC-kujul kusagilt lihtsalt nurgast jõude vedelemast. Need Cisco, Netscreen ja muud kallimad purgid sobivad rohkem ISP'dele, kus pole vaja muud teha kui garanteerida pidevat ja stabiilset tuima trafficut tunduvalt rohkematele kui 300'le kliendile.
HTTP kaitses on aga veel üks nõrk koht - ssl krüptitud HTTPS, mida pole viirustõrje poolt võimalik kontrollida. Alles suht hiljuti ilmus töömasinate lokaalsetele viirustõrjetele võimalus kontrollida ka krüptitud ühendusi. Nipp on suht labane - lokaalne viirustõrje lihtsalt integreerub webibrowseriga ning ssl ühendus ei tekitata mitte webibrowseri ja webiserveri vahel, vaid viirustõrje ja webiserveri vahe, seega viiruskontrollil pole probleeme. Tulemüürida ja gatewayde puhul aga sama nippi on natuke raskem realiseerida ja esialgu ma ei teagi et veel oleks see tehtud.
Proxy serverid pole ka kõik sama kvaliteediga - näiteks targemad oskavad hoida ära browseri poolset timeouti viirustõrje töötamise põhjustatud viivise tõttu.

mikk36 · HV Guru liitunud: 21.02.2004

vaegkuulja, viirus levib muid teid kaudu vaid siis, kui sa avad need muud teed
järgi jääb seega vaid 80 port, mille kaudu inimene ise alla laeb naiivselt viiruse, selle vastu see antiviirus aitabki et skännib läbi alla laetava faili reaalajas

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

mikk36 · HV Guru liitunud: 21.02.2004

sisuliselt pole vahet et kas alla laetakse mingi suur fail või html fail

Markos · HV veteran liitunud: 10.04.2002

to vaegkuulja: Küll aga on http protokoll ise hõlpsasti äratuntav, edasi mõtle ise juba, superarvuti. Ei tasu selle windowsiga nii õhinasse minna, võrgunduse kohapealt on tegemist ühe suure nulliga, mis ei sobi praktiliselt millekski. Nagu juba mainitud, hoia võrk ja L7 lahus. Kui tekib vajadus mingisuguse av järele, siis rangelt eraldi kast (ilmselt mingi server või appliance) ja suunad sellest vajaliku liikluse läbi. Eks kasutatakse ka PC platvormil jooksvaid müüre, põhjaks siis enamasti linux või openbsd. Keegi ei keela sellist valmis meisterdada, mõlemate operatsioonisüsteemide kernelid omavad selleks väga laia ampluaad võimalusi. Ainuke aga selle juures on see, et pead võrgundusest ikka väga palju teadma, et müür oleks ka müür, mitte võrkkaed ja pc puhul on miinuseks seal pöörlevad kõvakettad, ning failisüsteemi haavatavus näiteks toite ootamatule kadumisele. Võid panna küll 2 ketast ja garanteerida toite, kuid flashi ja nvrami vastu sellega ikkagi ei saa. On olnud juhtumeid, kus flash jookseb segi, aga need on piisavalt harvad. Pealegi ei anna võrrelda nvrami sisu taastamist tftp'st ja operatsioonisüsteemi installi + konfigureerimist. Ühel juhul on sul võrk maas ehk mõnikümmend minutit, teisel juhul võibolla pool päeva. Korporatiivne tulemüür ei ole mingi ühe teenuse server, mille downtime oleks mingilgi määral aktsepteeritav.

vaegkuulja · Aeg maha 30 liitunud: 08.11.2007

vihur · HV vaatleja liitunud: 24.10.2002

Heips,

Kui on huvi i:se ehitada:

http://www.soekris.com/
http://www.countersiege.com/doc/pfsync-carp/
http://www.kernel-panic.it/openbsd/carp/OpenBSD_firewalls.pdf