Лучший брандмауэр для размещения / размещения жилья?
Я ищу продукт брандмауэра (устройство или программное обеспечение) для среды размещения / размещения. Самая большая проблема заключается в том, что правила становятся очень сложными, так как все больше клиентов находятся за брандмауэром. У некоторых есть только один сервер, у других есть целая подсеть. Некоторым нужен NAT, другим - конечная точка VPN. Некоторые клиенты хотят разрешить только порт http, а другие ssh. Таким образом, устройство должно поддерживать VLAN и должно быть возможно сгруппировать правила для каждого клиента.
Скорость это еще один важный момент. И возможность легко управлять избыточными устройствами.
Я ищу что-то, что не имеет всех дополнений, таких как спам-фильтр и т. Д. Я много искал в сети, но либо у них были все эти дополнения (а с перегруженным интерфейсом конфигурации), либо они пропустили некоторые из функции, которые мне нужны (например, VLAN).
Конечная точка VPN не является важным критерием. Мы думали об отдельной машине для этого.
3 ответа
Я думаю, что у вас есть несколько вариантов, ваши требования не так высоки. Какой серьезный брандмауэр не поддерживает VLAN?
Мы используем HA-настройку Clavister SG32xx, они поддерживают группировку правил, VPN, VLAN и выпускаются в разных версиях в зависимости от лицензирования (который определяет пропускную способность). Я думаю, производительность колеблется от 350 Мбит до 1,5 Гбит.
Их более низкий диапазон также предлагает HA, но не синхронизирует отслеживание соединения IIRC. Это серия SG5x с пропускной способностью до 200 Мбит. Техническая поддержка технически одинакова.
У вас также есть продукты от Checkpoint, Cisco (серии ASA), которые могут вас заинтересовать, однако мы выбираем Clavister в основном из-за простоты администрирования, а также из-за впечатления от компании, которая продемонстрировала нам этот продукт (и поставляет). нас с поддержкой).
Посмотрите на pfsense. Он поддерживает все функции, которые вы только что перечислили, бесплатный, с открытым исходным кодом, хорошо документирован, и коммерческая поддержка доступна, если вам это нужно. Он также поддерживает кластеризацию для беззаботного переключения при сбое, включая все активные сеансы. И работает на любом оборудовании x86, так что вы можете легко подобрать оборудование под свои нужды.
Я рекомендую серию Fortigate от Fortinet. У нас был хороший опыт с ними. Они поддерживают межсетевой экран с группировкой, VPN (SSL и ipsec), VLAN, HA. Вы можете выполнить некоторую взвешенную балансировку нагрузки на своих хостах, и они также поддерживают VDOM, что позволяет предлагать виртуальные устройства и управление вашим гостям и клиентам.
Модель лицензирования проста: каждая модель Fortigate имеет одинаковые функции программного обеспечения, меняются только аппаратные возможности и опции. И вам не нужно платить ни за что, чтобы иметь возможность использовать VPN, он просто работает с любым количеством клиентов, которые вам нужны.